Diritti interna

Doveri interna

ricerca avanzata

Onlus: uso dei dati degli iscritti a scopo propagandistico-elettorale - 26 marzo e 2 aprile 2009 [1606059]

[doc. web n. 1606059]

Onlus: uso dei dati degli iscritti a scopo propagandistico-elettorale - 26 marzo e 2 aprile 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il reclamo pervenuto in data 12 febbraio 2007 con cui XY ha lamentato l´inosservanza delle disposizioni stabilite dal Codice in relazione al trattamento di dati personali a sé riferiti da parte dell´Unione nazionale italiana trasporto ammalati a Lourdes e santuari internazionali-Unitalsi presso cui era iscritta, con conseguente richiesta di adozione delle misure ritenute opportune previa disposizione del blocco del trattamento;

VISTO quanto precisato dalla reclamante, la quale ha rappresentato di aver ricevuto una lettera "di inequivocabile contenuto propagandistico e di palese intento orientativo sul voto" in vista delle elezioni politiche del 9-10 aprile 2006 da parte di Dante D´Elpidio, al tempo componente del consiglio direttivo nazionale dell´Unitalsi con delega all´amministrazione e al personale, che avrebbe acquisito, in virtù della carica all´epoca rivestita all´interno dell´associazione, i dati personali riferiti alla reclamante (cfr. reclamo, p. 1). Tale acquisizione e successivo utilizzo dei dati, che avrebbe riguardato anche i nominativi e gli indirizzi di altri iscritti all´associazione, sarebbero avvenuti "in manifesto contrasto con la legge e i fini istituzionali" della stessa;

VISTA altresì la corrispondenza intercorsa tra l´associazione e la reclamante in ordine alla ritenuta omessa adozione, da parte dell´associazione stessa, di misure di sicurezza "idonee a scongiurare –o quanto meno, a ridurre al minimo– il rischio di accesso non autorizzato e il trattamento non consentito e non in linea con lo scopo della raccolta" (cfr. reclamo, p. 3);

VISTA la nota di risposta datata 20 giugno 2007 dell´associazione, in riscontro alla richiesta di informazioni formulata da questa Autorità in data 23 maggio 2007 – contenente, tra l´altro, l´esplicita richiesta di informazioni e documenti utili "al fine di consentire un approfondito esame […] del trattamento dei dati personali relativi [alla reclamante, con particolare riferimento alle] misure […] adottate per dare attuazione alle disposizioni di cui agli artt. 31-36 d.lg. n. 196/2003", rinnovata in occasione degli accertamenti effettuati per il tramite della Guardia di Finanza in data 26 febbraio 2009 –, con la quale la medesima associazione ha dichiarato di non aver consegnato l´indirizzario degli associati al D´Elpidio, di ritenersi estranea all´iniziativa intrapresa da quest´ultimo tanto da averne "prontamente contestato l´uso improprio" e, non appena venuta a conoscenza "dell´invio di materiale elettorale a propri soci", di aver "chiarito che si trattava di iniziativa estranea all´associazione mediante pubblicazione di un comunicato [del 27 marzo 2006] sul sito web e invio dello stesso ai presidenti di sezione" (cfr. all. nn. 6 e 7 alla citata nota di risposta). L´associazione ha successivamente inviato (in data 3 aprile 2006) una comunicazione al D´Elpidio in cui lo invitava "a non utilizzare indirizzi e dati [eventualmente acquisiti] durante il […] mandato" presso Unitalsi (nota allegata al verbale di operazioni compiute in data 26 febbraio 2009). L´associazione ha altresì precisato di aver cessato il trattamento dei dati personali riferiti alla reclamante a seguito del mancato rinnovo dell´iscrizione della stessa, trasferendo le relative informazioni in un "archivio morto" detenuto per finalità esclusivamente storico-statistiche (cfr. nota del 20 giugno 2007, p. 3);

VISTE le successive osservazioni formulate dalla reclamante con la nota datata 7 settembre 2007 (cfr. l´allegato doc. 21), nella quale ha evidenziato che, invece, anche i dati contenuti nell´"archivio morto" sarebbero stati utilizzati per l´invio del predetto invito elettorale, atteso che lo stesso è pervenuto anche all´indirizzo della madre della reclamante (anch´essa in passato iscritta all´associazione), benché deceduta il 20 maggio 1990;

ESAMINATE le risultanze istruttorie;

RILEVATO che alla luce della documentazione in atti e delle dichiarazioni rese dalle parti ai sensi e per gli effetti di cui all´art. 168 del Codice risulta essere stato effettuato un trattamento illecito di dati riferiti alla reclamante ai sensi dell´art. 11, comma 1, lett. a) e b), del Codice, conseguente all´acquisizione e al successivo utilizzo degli stessi per finalità di propaganda elettorale a vantaggio del D´Elpidio non compatibili, alla luce dello statuto dell´associazione medesima, con gli scopi originari della raccolta (cfr. reclamo, p. 2; cfr. altresì all. n. 4 alla citata nota di risposta). Né risulta che alla reclamante sia stata altrimenti fornita l´informativa (e acquisito il relativo consenso) circa il possibile trattamento dei dati personali alla stessa riferiti per finalità di propaganda elettorale;

RILEVATO che, ancorché non consti, allo stato, anche in relazione alle dichiarazioni rese, che l´associazione abbia svolto un ruolo attivo nell´invio delle comunicazioni a carattere propagandistico, deve tuttavia essere preso in considerazione l´ulteriore profilo dell´osservanza, da parte dell´associazione medesima, delle disposizioni in materia di misure di sicurezza (artt. 31 ss. del Codice);

RILEVATO che i dati personali riferiti alla reclamante, in considerazione della loro idoneità a rivelare le convinzioni religiose della stessa in quanto appartenente ad un´associazione che si propone di "incrementare la vita spirituale degli aderenti e di promuovere un´azione di evangelizzazione e di apostolato verso e con i fratelli ammalati e disabili, in riferimento al messaggio del Vangelo e al Magistero della Chiesa" (art. 1, statuto Unitalsi; v. pure art. 2), devono considerarsi "dati sensibili" ai sensi dell´art. 4, comma 1, lett. d), del Codice;

RILEVATO che per le predette informazioni la disciplina in materia di protezione dei dati personali prevede una tutela rafforzata, in considerazione dei maggiori rischi che possono derivare da un loro utilizzo non conforme alle finalità per i quali gli stessi sono trattati;

RILEVATO che tali cautele devono essere assicurate anche con riferimento all´adozione preventiva di idonee misure di sicurezza, in modo da salvaguardare i dati personali (in particolare, quelli sensibili) da eventuali rischi di "accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta" (art. 31 del Codice);

RILEVATO che l´associazione non risulta aver adottato, all´epoca dei fatti contestati, idonee misure di sicurezza, tali da evitare accessi non autorizzati ai predetti dati personali e il loro successivo utilizzo per finalità non compatibili con quelle della raccolta così come espressamente individuate nello statuto dell´associazione medesima (artt. 31 ss. del Codice);

RILEVATO che, alla luce della documentazione in atti, risulta che l´associazione ha "approvato" il documento programmatico sulla sicurezza "proprio nei giorni in cui […] avveniva l´invio della lettera elettorale alla ricorrente" (cfr. citata nota di risposta, p. 4), ma con efficacia comunque successiva all´invio della medesima, atteso che il menzionato documento programmatico è stato trasmesso alle varie unità territoriali dell´associazione il 29 marzo 2006 ed era destinato a produrre i suoi effetti a partire dal 1° aprile 2006 (cfr. all. n. 8);

RILEVATO che, in allegato al menzionato documento programmatico, è stato altresì prodotto il "Piano della sicurezza dei sistemi informatici 2006" nel quale è contenuta la previsione secondo cui "tutto il personale amministrativo in servizio" rivestirebbe il ruolo di "incaricato del trattamento";

RILEVATO altresì che, in base alle dichiarazioni rese dal rappresentante dell´associazione, "ogni responsabile/incaricato ha ricevuto le specifiche istruzioni attraverso il documento denominato Norme di comportamento per l´utente, allegato al Dps" e che analoghe procedure "sono state riadattate, […] aggiornando l´elenco dei responsabili e/o incaricati" (cfr. verbale del 26 febbraio 2009, p. 2);

RILEVATO che dal complesso degli elementi in atti non risulta comprovato che l´associazione, in qualità di titolare del trattamento, abbia designato, nel rispetto della previsione contenuta nell´art. 30 del Codice, gli incaricati per il trattamento dei dati personali riferiti agli associati, atteso che le designazioni degli incaricati sarebbero state effettuate solo in data 29 marzo 2006, con la comunicazione del documento programmatico sulla sicurezza e dell´allegato "Piano della sicurezza dei sistemi informatici 2006" (cfr. all. 8 nota datata 20 giugno 2007);

RILEVATO che lo stesso D´Elpidio non risulta essere stato designato quale incaricato o responsabile del trattamento; rilevato altresì che non risulta condivisibile l´argomentazione formulata da Unitalsi, secondo cui questi non aveva "un accesso diretto ai dati" ma doveva "eventualmente chiederne l´utilizzo ai responsabili e/o incaricati" (verbale operazioni compiute in data 26 febbraio 2009), posto che, indipendentemente dalla disponibilità di dati riferiti alla reclamante ed utilizzati per l´invio di comunicazioni a contenuto propagandistico, per le funzioni svolte dal medesimo all´interno di Unitalsi – come sopra ricordato il D´Elpidio aveva la delega all´amministrazione dell´associazione e al personale – questi non poteva non trattare dati personali riferiti agli associati e ai dipendenti dell´associazione;

RITENUTO inoltre che anche la designazione degli incaricati formulata mediante le menzionate Norme di comportamento per l´utente non sia avvenuta nel rispetto della previsione dell´art. 30 del Codice, e cioè individuando rispetto a ciascuno di essi per iscritto "puntualmente l´ambito del trattamento consentito" ovvero provvedendo alla "documentata preposizione" delle persone fisiche operanti presso l´associazione con l´individuazione, "per iscritto, [del]l´ambito del trattamento consentito agli addetti dell´unità medesima";

CONSIDERATO che la presenza degli incaricati correttamente designati costituisce il presupposto per l´attuazione e, quindi, l´osservanza delle misure minime di sicurezza (art. 33 e 34 del Codice in combinato disposto con le regole contenute nel Disciplinare tecnico in materia di misure minime di sicurezza, all. B al Codice);

RILEVATO altresì che non risulta che l´associazione abbia al tempo provveduto a svolgere adeguati interventi formativi per le operazioni di trattamento effettuate da questi ultimi, né risultano essere state impartite specifiche istruzioni agli incaricati (cfr. All. B al Codice, Disciplinare tecnico in materia di misure minime di sicurezza, regole 4, 21 e 27);

RISERVATA, con autonomo provvedimento, la verifica dei presupposti per l´eventuale contestazione della violazione concernente l´inosservanza delle misure di sicurezza ai sensi dell´art. 169 del Codice;

RILEVATO che dall´inosservanza delle misure di sicurezza può altresì derivare una responsabilità civile in capo al titolare del trattamento (artt. 15 del Codice e 2050 cod. civ.), sul quale grava una "presunzione di responsabilità [che] può essere vinta solo con una prova particolarmente rigorosa, poiché è posto a carico dell´esercente l´attività pericolosa l´onere di dimostrare l´adozione di tutte le misure idonee ad evitare il danno" (Cass. 1° aprile 2005, n. 6888; nello stesso senso, v. anche Cass. 30 marzo 2001, n. 4742; Cass. 4 maggio 2004, n. 8457);

RILEVATO che anche dati personali tratti dal c.d. "archivio morto" (nel caso di specie, relativi alla madre della reclamante) sono stati utilizzati nell´attività di propaganda elettorale;

RITENUTO pertanto di dover prescrivere ad Unitalsi l´adozione delle misure di sicurezza previste dagli artt. 31 ss. del Codice in relazione ai trattamenti effettuati per il tramite del c.d. "archivio morto" (il cui utilizzo deve restare confinato al perseguimento delle sole finalità storiche e statistiche), idonee a contenere il rischio di operazioni di trattamento non consentite o non compatibili con le finalità legittimamente perseguite; prescrizione da attuare al più presto e comunque entro e non oltre il 15 maggio 2009, dandone comunicazione entro la stessa data a questa Autorità;

RITENUTO inoltre di dover prescrivere ad Unitalsi di provvedere alla designazione degli incaricati nel rispetto della prescrizione contenuta nell´art. 30 del Codice, al più presto e comunque entro e non oltre il 15 maggio 2009, dandone comunicazione entro la stessa data a questa Autorità;

CONSIDERATO che, in caso di inosservanza delle suddette prescrizioni (di cui al punto 1 del dispositivo), potrà rendersi applicabile la sanzione amministrativa di cui all´art. 162, comma 2 ter del Codice;

RILEVATO peraltro il non luogo a provvedere in merito alla richiesta di blocco avanzata dalla reclamante, tenuto conto che, allo stato degli atti, risulta che il trattamento oggetto di contestazione ha esaurito i propri effetti e che la reclamante non risulta essere più socia di Unitalsi;

RITENUTO di disporre la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive all´Unione nazionale italiana trasporto ammalati a Lourdes e santuari internazionali-Unitalsi, con sede in Roma, di:

a. adottare, al più presto e comunque entro e non oltre il 15 maggio 2009, le misure di sicurezza previste dagli artt. 31 ss. del Codice in relazione ai trattamenti effettuati per il tramite del c.d. "archivio morto" (il cui utilizzo deve restare confinato al perseguimento delle sole finalità storiche e statistiche), idonee a contenere il rischio di operazioni di trattamento non consentite o non compatibili con le finalità legittimamente perseguite;

b. provvedere alla designazione degli incaricati nel rispetto della prescrizione contenuta nell´art. 30 del Codice, al più presto e comunque entro e non oltre il 15 maggio 2009;

2. ai sensi dell´art. 157 del Codice, l´adozione delle predette misure dovrà essere adeguatamente documentata a questa Autorità, entro e non oltre il 15 maggio 2009;

3. dispone la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 26 marzo e 2 aprile 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi