| Garante per la protezione     dei dati personali Onlus: uso dei datidegli iscritti a scopo propagandistico-elettorale PROVVEDIMENTO DEL 26 MARZOE 2 APRILE 2009 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Filippo Patroni Griffi, segretario generale; VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196); VISTO il reclamo pervenuto in data 12febbraio 2007 con cui XY ha lamentato l'inosservanza delle disposizionistabilite dal Codice in relazione al trattamento di dati personali a sriferiti da parte dell'Unione nazionale italiana trasporto ammalati a Lourdes esantuari internazionali-Unitalsi presso cui era iscritta, con conseguenterichiesta di adozione delle misure ritenute opportune previa disposizione delblocco del trattamento; VISTO quanto precisato dalla reclamante,la quale ha rappresentato di aver ricevuto una lettera "diinequivocabile contenuto propagandistico e di palese intento orientativo sulvoto" in vista delle elezionipolitiche del 9-10 aprile 2006 da parte di Dante D'Elpidio, al tempo componentedel consiglio direttivo nazionale dell'Unitalsi con delega all'amministrazionee al personale, che avrebbe acquisito, in virt della carica all'epocarivestita all'interno dell'associazione, i dati personali riferiti allareclamante (cfr. reclamo, p. 1). Tale acquisizione e successivo utilizzo deidati, che avrebbe riguardato anche i nominativi e gli indirizzi di altriiscritti all'associazione, sarebbero avvenuti "in manifesto contrastocon la legge e i fini istituzionali" della stessa; VISTA altres la corrispondenzaintercorsa tra l'associazione e la reclamante in ordine alla ritenuta omessaadozione, da parte dell'associazione stessa, di misure di sicurezza "idoneea scongiurare –o quanto meno, a ridurre al minimo– il rischio diaccesso non autorizzato e il trattamento non consentito e non in linea con loscopo della raccolta" (cfr.reclamo, p. 3); VISTA la nota di risposta datata 20giugno 2007 dell'associazione, in riscontro alla richiesta di informazioniformulata da questa Autorit in data 23 maggio 2007 – contenente, tral'altro, l'esplicita richiesta di informazioni e documenti utili "alfine di consentire un approfondito esame [] del trattamento dei dati personalirelativi [alla reclamante, conparticolare riferimento alle] misure [] adottate per dare attuazione alledisposizioni di cui agli artt. 31-36 d.lg. n. 196/2003" VISTE le successive osservazioniformulate dalla reclamante con la nota datata 7 settembre 2007 (cfr. l'allegatodoc. 21), nella quale ha evidenziato che, invece, anche i dati contenuti nell'"archiviomorto" sarebbero statiutilizzati per l'invio del predetto invito elettorale, atteso che lo stesso pervenuto anche all'indirizzo della madre della reclamante (anch'essa inpassato iscritta all'associazione), bench deceduta il 20 maggio 1990; ESAMINATE le risultanze istruttorie; RILEVATO che alla luce delladocumentazione in atti e delle dichiarazioni rese dalle parti ai sensi e pergli effetti di cui all'art. 168 del Codice risulta essere stato effettuato untrattamento illecito di dati riferiti alla reclamante ai sensi dell'art. 11,comma 1, lett. a) e b RILEVATO che, ancorch non consti, allostato, anche in relazione alle dichiarazioni rese, che l'associazione abbiasvolto un ruolo attivo nell'invio delle comunicazioni a caratterepropagandistico, deve tuttavia essere preso in considerazione l'ulterioreprofilo dell'osservanza, da parte dell'associazione medesima, delledisposizioni in materia di misure di sicurezza (artt. 31 ss. del Codice); RILEVATO che i dati personali riferitialla reclamante, in considerazione della loro idoneit a rivelare leconvinzioni religiose della stessa in quanto appartenente ad un'associazioneche si propone di "incrementare la vita spirituale degli aderenti e dipromuovere un'azione di evangelizzazione e di apostolato verso e con i fratelliammalati e disabili, in riferimento al messaggio del Vangelo e al Magisterodella Chiesa" (art. 1, statutoUnitalsi; v. pure art. 2), devono considerarsi "dati sensibili" RILEVATO che per le predette informazionila disciplina in materia di protezione dei dati personali prevede una tutelarafforzata, in considerazione dei maggiori rischi che possono derivare da unloro utilizzo non conforme alle finalit per i quali gli stessi sono trattati; RILEVATO che tali cautele devono essereassicurate anche con riferimento all'adozione preventiva di idonee misure disicurezza, in modo da salvaguardare i dati personali (in particolare, quellisensibili) da eventuali rischi di "accesso non autorizzato o ditrattamento non consentito o non conforme alle finalit della raccolta" RILEVATO che l'associazione non risultaaver adottato, all'epoca dei fatti contestati, idonee misure di sicurezza, talida evitare accessi non autorizzati ai predetti dati personali e il lorosuccessivo utilizzo per finalit non compatibili con quelle della raccolta coscome espressamente individuate nello statuto dell'associazione medesima (artt.31 ss. del Codice); RILEVATO che, alla luce delladocumentazione in atti, risulta che l'associazione ha "approvato" RILEVATO che, in allegato al menzionatodocumento programmatico, stato altres prodotto il "Piano dellasicurezza dei sistemi informatici 2006" nel quale contenuta la previsione secondo cui "tutto ilpersonale amministrativo in servizio" rivestirebbe il ruolo di"incaricato del trattamento"; RILEVATO altres che, in base alledichiarazioni rese dal rappresentante dell'associazione, "ogniresponsabile/incaricato ha ricevuto le specifiche istruzioni attraverso ildocumento denominato Norme di comportamento per l'utente, allegato al Dps" RILEVATO che dal complesso degli elementiin atti non risulta comprovato che l'associazione, in qualit di titolare deltrattamento, abbia designato, nel rispetto della previsione contenuta nell'art.30 del Codice, gli incaricati per il trattamento dei dati personali riferitiagli associati, atteso che le designazioni degli incaricati sarebbero stateeffettuate solo in data 29 marzo 2006, con la comunicazione del documentoprogrammatico sulla sicurezza e dell'allegato "Piano della sicurezzadei sistemi informatici 2006"(cfr. all. 8 nota datata 20 giugno 2007); RILEVATO che lo stesso D'Elpidio nonrisulta essere stato designato quale incaricato o responsabile del trattamento;rilevato altres che non risulta condivisibile l'argomentazione formulata daUnitalsi, secondo cui questi non aveva "un accesso diretto aidati" ma doveva "eventualmentechiederne l'utilizzo ai responsabili e/o incaricati" RITENUTO inoltre che anche ladesignazione degli incaricati formulata mediante le menzionate Norme dicomportamento per l'utente non sia avvenuta nel rispetto della previsionedell'art. 30 del Codice, e cio individuando rispetto a ciascuno di essi periscritto "puntualmente l'ambito del trattamento consentito" CONSIDERATO che la presenza degliincaricati correttamente designati costituisce il presupposto per l'attuazionee, quindi, l'osservanza delle misure minime di sicurezza (art. 33 e 34 delCodice in combinato disposto con le regole contenute nel Disciplinare tecnicoin materia di misure minime di sicurezza, all. B al Codice); RILEVATO altres che non risulta chel'associazione abbia al tempo provveduto a svolgere adeguati interventiformativi per le operazioni di trattamento effettuate da questi ultimi, nrisultano essere state impartite specifiche istruzioni agli incaricati (cfr.All. B al Codice, Disciplinare tecnico in materia di misure minime disicurezza, regole 4, 21 e 27); RISERVATA, con autonomo provvedimento, laverifica dei presupposti per l'eventuale contestazione della violazioneconcernente l'inosservanza delle misure di sicurezza ai sensi dell'art. 169 delCodice; RILEVATO che dall'inosservanza dellemisure di sicurezza pu altres derivare una responsabilit civile in capo altitolare del trattamento (artt. 15 del Codice e 2050 cod. civ.), sul qualegrava una "presunzione di responsabilit RILEVATO che anche dati personali trattidal c.d. "archivio morto"(nel caso di specie, relativi alla madre della reclamante) sono statiutilizzati nell'attivit di propaganda elettorale; RITENUTO pertanto di dover prescrivere adUnitalsi l'adozione delle misure di sicurezza previste dagli artt. 31 ss. delCodice in relazione ai trattamenti effettuati per il tramite del c.d. "archiviomorto" (il cui utilizzo deverestare confinato al perseguimento delle sole finalit storiche e statistiche),idonee a contenere il rischio di operazioni di trattamento non consentite o noncompatibili con le finalit legittimamente perseguite; prescrizione da attuareal pi presto e comunque entro e non oltre il 15 maggio 2009, dandonecomunicazione entro la stessa data a questa Autorit; RITENUTO inoltre di dover prescrivere adUnitalsi di provvedere alla designazione degli incaricati nel rispetto dellaprescrizione contenuta nell'art. 30 del Codice, al pi presto e comunque entroe non oltre il 15 maggio 2009, dandone comunicazione entro la stessa data aquesta Autorit; CONSIDERATO che, in caso di inosservanzadelle suddette prescrizioni (di cui al punto 1 del dispositivo), potr rendersiapplicabile la sanzione amministrativa di cui all'art. 162, comma 2 ter delCodice; RILEVATO peraltro il non luogo aprovvedere in merito alla richiesta di blocco avanzata dalla reclamante, tenutoconto che, allo stato degli atti, risulta che il trattamento oggetto dicontestazione ha esaurito i propri effetti e che la reclamante non risulta esserepi socia di Unitalsi; RITENUTO di disporre la trasmissionedegli atti e di copia del presente provvedimento all'autorit giudiziaria perle valutazioni di competenza in ordine agli illeciti penali che riterreventualmente configurabili; VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; RELATORE il dott. Mauro Paissan; TUTTO CI PREMESSO ILGARANTE 1. ai sensi degli artt. 143, comma1, lett. b) e 154, comma 1, lett.c), del Codice, prescriveall'Unione nazionale italiana trasporto ammalati a Lourdes e santuariinternazionali-Unitalsi, con sede in Roma, di: a. adottare, al pi presto ecomunque entro e non oltre il 15 maggio 2009, le misure di sicurezza previstedagli artt. 31 ss. del Codice in relazione ai trattamenti effettuati per iltramite del c.d. "archivio morto" b. provvedere alla designazionedegli incaricati nel rispetto della prescrizione contenuta nell'art. 30 delCodice, al pi presto e comunque entro e non oltre il 15 maggio 2009; 2. ai sensi dell'art. 157 delCodice, l'adozione delle predette misure dovr essere adeguatamente documentataa questa Autorit, entro e non oltre il 15 maggio 2009; 3. dispone la trasmissione degliatti e di copia del presente provvedimento all'autorit giudiziaria per levalutazioni di competenza in ordine agli illeciti penali che riterreventualmente configurabili. Roma, 26 marzo e 2 aprile 2009
|