Onlus: uso dei datidegli iscritti a scopo propagandistico-elettorale

PROVVEDIMENTO DEL 26 MARZOE 2 APRILE 2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il reclamo pervenuto in data 12febbraio 2007 con cui XY ha lamentato l'inosservanza delle disposizionistabilite dal Codice in relazione al trattamento di dati personali a sériferiti da parte dell'Unione nazionale italiana trasporto ammalati a Lourdes esantuari internazionali-Unitalsi presso cui era iscritta, con conseguenterichiesta di adozione delle misure ritenute opportune previa disposizione delblocco del trattamento;

VISTO quanto precisato dalla reclamante,la quale ha rappresentato di aver ricevuto una lettera "diinequivocabile contenuto propagandistico e di palese intento orientativo sulvoto" in vista delle elezionipolitiche del 9-10 aprile 2006 da parte di Dante D'Elpidio, al tempo componentedel consiglio direttivo nazionale dell'Unitalsi con delega all'amministrazionee al personale, che avrebbe acquisito, in virtù della carica all'epocarivestita all'interno dell'associazione, i dati personali riferiti allareclamante (cfr. reclamo, p. 1). Tale acquisizione e successivo utilizzo deidati, che avrebbe riguardato anche i nominativi e gli indirizzi di altriiscritti all'associazione, sarebbero avvenuti "in manifesto contrastocon la legge e i fini istituzionali" della stessa;

VISTA altresì la corrispondenzaintercorsa tra l'associazione e la reclamante in ordine alla ritenuta omessaadozione, da parte dell'associazione stessa, di misure di sicurezza "idoneea scongiurare –o quanto meno, a ridurre al minimo– il rischio diaccesso non autorizzato e il trattamento non consentito e non in linea con loscopo della raccolta" (cfr.reclamo, p. 3);

VISTA la nota di risposta datata 20giugno 2007 dell'associazione, in riscontro alla richiesta di informazioniformulata da questa Autorità in data 23 maggio 2007 – contenente, tral'altro, l'esplicita richiesta di informazioni e documenti utili "alfine di consentire un approfondito esame […] del trattamento dei dati personalirelativi [alla reclamante, conparticolare riferimento alle] misure […] adottate per dare attuazione alledisposizioni di cui agli artt. 31-36 d.lg. n. 196/2003", rinnovata in occasione degli accertamentieffettuati per il tramite della Guardia di Finanza in data 26 febbraio 2009 –,con la quale la medesima associazione ha dichiarato di non aver consegnatol'indirizzario degli associati al D'Elpidio, di ritenersi estraneaall'iniziativa intrapresa da quest'ultimo tanto da averne "prontamentecontestato l'uso improprio" e,non appena venuta a conoscenza "dell'invio di materiale elettorale apropri soci", di aver "chiaritoche si trattava di iniziativa estranea all'associazione mediante pubblicazionedi un comunicato [del 27 marzo 2006]sul sito web e invio dello stesso ai presidenti di sezione" (cfr. all. nn. 6 e 7 alla citata nota di risposta).L'associazione ha successivamente inviato (in data 3 aprile 2006) unacomunicazione al D'Elpidio in cui lo invitava "a non utilizzareindirizzi e dati [eventualmenteacquisiti] durante il […] mandato" presso Unitalsi (nota allegata al verbale di operazioni compiute indata 26 febbraio 2009). L'associazione ha altresì precisato di aver cessato iltrattamento dei dati personali riferiti alla reclamante a seguito del mancatorinnovo dell'iscrizione della stessa, trasferendo le relative informazioni inun "archivio morto"detenuto per finalità esclusivamente storico-statistiche (cfr. nota del 20giugno 2007, p. 3);

VISTE le successive osservazioniformulate dalla reclamante con la nota datata 7 settembre 2007 (cfr. l'allegatodoc. 21), nella quale ha evidenziato che, invece, anche i dati contenuti nell'"archiviomorto" sarebbero statiutilizzati per l'invio del predetto invito elettorale, atteso che lo stesso èpervenuto anche all'indirizzo della madre della reclamante (anch'essa inpassato iscritta all'associazione), benché deceduta il 20 maggio 1990;

ESAMINATE le risultanze istruttorie;

RILEVATO che alla luce delladocumentazione in atti e delle dichiarazioni rese dalle parti ai sensi e pergli effetti di cui all'art. 168 del Codice risulta essere stato effettuato untrattamento illecito di dati riferiti alla reclamante ai sensi dell'art. 11,comma 1, lett. a) e b), del Codice, conseguente all'acquisizione e alsuccessivo utilizzo degli stessi per finalità di propaganda elettorale avantaggio del D'Elpidio non compatibili, alla luce dello statutodell'associazione medesima, con gli scopi originari della raccolta (cfr.reclamo, p. 2; cfr. altresì all. n. 4 alla citata nota di risposta). Né risultache alla reclamante sia stata altrimenti fornita l'informativa (e acquisito ilrelativo consenso) circa il possibile trattamento dei dati personali allastessa riferiti per finalità di propaganda elettorale;

RILEVATO che, ancorché non consti, allostato, anche in relazione alle dichiarazioni rese, che l'associazione abbiasvolto un ruolo attivo nell'invio delle comunicazioni a caratterepropagandistico, deve tuttavia essere preso in considerazione l'ulterioreprofilo dell'osservanza, da parte dell'associazione medesima, delledisposizioni in materia di misure di sicurezza (artt. 31 ss. del Codice);

RILEVATO che i dati personali riferitialla reclamante, in considerazione della loro idoneità a rivelare leconvinzioni religiose della stessa in quanto appartenente ad un'associazioneche si propone di "incrementare la vita spirituale degli aderenti e dipromuovere un'azione di evangelizzazione e di apostolato verso e con i fratelliammalati e disabili, in riferimento al messaggio del Vangelo e al Magisterodella Chiesa" (art. 1, statutoUnitalsi; v. pure art. 2), devono considerarsi "dati sensibili" ai sensi dell'art. 4, comma 1, lett. d), del Codice;

RILEVATO che per le predette informazionila disciplina in materia di protezione dei dati personali prevede una tutelarafforzata, in considerazione dei maggiori rischi che possono derivare da unloro utilizzo non conforme alle finalità per i quali gli stessi sono trattati;

RILEVATO che tali cautele devono essereassicurate anche con riferimento all'adozione preventiva di idonee misure disicurezza, in modo da salvaguardare i dati personali (in particolare, quellisensibili) da eventuali rischi di "accesso non autorizzato o ditrattamento non consentito o non conforme alle finalità della raccolta" (art. 31 del Codice);

RILEVATO che l'associazione non risultaaver adottato, all'epoca dei fatti contestati, idonee misure di sicurezza, talida evitare accessi non autorizzati ai predetti dati personali e il lorosuccessivo utilizzo per finalità non compatibili con quelle della raccolta cosìcome espressamente individuate nello statuto dell'associazione medesima (artt.31 ss. del Codice);

RILEVATO che, alla luce delladocumentazione in atti, risulta che l'associazione ha "approvato" il documento programmatico sulla sicurezza "proprionei giorni in cui […] avveniva l'invio della lettera elettorale allaricorrente" (cfr. citata notadi risposta, p. 4), ma con efficacia comunque successiva all'invio dellamedesima, atteso che il menzionato documento programmatico è stato trasmessoalle varie unità territoriali dell'associazione il 29 marzo 2006 ed eradestinato a produrre i suoi effetti a partire dal 1° aprile 2006 (cfr. all. n.8);

RILEVATO che, in allegato al menzionatodocumento programmatico, è stato altresì prodotto il "Piano dellasicurezza dei sistemi informatici 2006" nel quale è contenuta la previsione secondo cui "tutto ilpersonale amministrativo in servizio" rivestirebbe il ruolo di"incaricato del trattamento";

RILEVATO altresì che, in base alledichiarazioni rese dal rappresentante dell'associazione, "ogniresponsabile/incaricato ha ricevuto le specifiche istruzioni attraverso ildocumento denominato Norme di comportamento per l'utente, allegato al Dps" e che analoghe procedure "sono stateriadattate, […] aggiornando l'elenco dei responsabili e/o incaricati" (cfr. verbale del 26 febbraio 2009, p. 2);

RILEVATO che dal complesso degli elementiin atti non risulta comprovato che l'associazione, in qualità di titolare deltrattamento, abbia designato, nel rispetto della previsione contenuta nell'art.30 del Codice, gli incaricati per il trattamento dei dati personali riferitiagli associati, atteso che le designazioni degli incaricati sarebbero stateeffettuate solo in data 29 marzo 2006, con la comunicazione del documentoprogrammatico sulla sicurezza e dell'allegato "Piano della sicurezzadei sistemi informatici 2006"(cfr. all. 8 nota datata 20 giugno 2007);

RILEVATO che lo stesso D'Elpidio nonrisulta essere stato designato quale incaricato o responsabile del trattamento;rilevato altresì che non risulta condivisibile l'argomentazione formulata daUnitalsi, secondo cui questi non aveva "un accesso diretto aidati" ma doveva "eventualmentechiederne l'utilizzo ai responsabili e/o incaricati" (verbale operazioni compiute in data 26 febbraio2009), posto che, indipendentemente dalla disponibilità di dati riferiti allareclamante ed utilizzati per l'invio di comunicazioni a contenutopropagandistico, per le funzioni svolte dal medesimo all'interno di Unitalsi –come sopra ricordato il D'Elpidio aveva la delega all'amministrazionedell'associazione e al personale – questi non poteva non trattare datipersonali riferiti agli associati e ai dipendenti dell'associazione;

RITENUTO inoltre che anche ladesignazione degli incaricati formulata mediante le menzionate Norme dicomportamento per l'utente non sia avvenuta nel rispetto della previsionedell'art. 30 del Codice, e cioè individuando rispetto a ciascuno di essi periscritto "puntualmente l'ambito del trattamento consentito" ovvero provvedendo alla "documentatapreposizione" delle personefisiche operanti presso l'associazione con l'individuazione, "per iscritto, [del]l'ambito del trattamento consentito agliaddetti dell'unità medesima";

CONSIDERATO che la presenza degliincaricati correttamente designati costituisce il presupposto per l'attuazionee, quindi, l'osservanza delle misure minime di sicurezza (art. 33 e 34 delCodice in combinato disposto con le regole contenute nel Disciplinare tecnicoin materia di misure minime di sicurezza, all. B al Codice);

RILEVATO altresì che non risulta chel'associazione abbia al tempo provveduto a svolgere adeguati interventiformativi per le operazioni di trattamento effettuate da questi ultimi, nérisultano essere state impartite specifiche istruzioni agli incaricati (cfr.All. B al Codice, Disciplinare tecnico in materia di misure minime disicurezza, regole 4, 21 e 27);

RISERVATA, con autonomo provvedimento, laverifica dei presupposti per l'eventuale contestazione della violazioneconcernente l'inosservanza delle misure di sicurezza ai sensi dell'art. 169 delCodice;

RILEVATO che dall'inosservanza dellemisure di sicurezza può altresì derivare una responsabilità civile in capo altitolare del trattamento (artt. 15 del Codice e 2050 cod. civ.), sul qualegrava una "presunzione di responsabilità [che] può essere vinta solo con una provaparticolarmente rigorosa, poiché è posto a carico dell'esercente l'attivitàpericolosa l'onere di dimostrare l'adozione di tutte le misure idonee adevitare il danno" (Cass. 1°aprile 2005, n. 6888; nello stesso senso, v. anche Cass. 30 marzo 2001, n.4742; Cass. 4 maggio 2004, n. 8457);

RILEVATO che anche dati personali trattidal c.d. "archivio morto"(nel caso di specie, relativi alla madre della reclamante) sono statiutilizzati nell'attività di propaganda elettorale;

RITENUTO pertanto di dover prescrivere adUnitalsi l'adozione delle misure di sicurezza previste dagli artt. 31 ss. delCodice in relazione ai trattamenti effettuati per il tramite del c.d. "archiviomorto" (il cui utilizzo deverestare confinato al perseguimento delle sole finalità storiche e statistiche),idonee a contenere il rischio di operazioni di trattamento non consentite o noncompatibili con le finalità legittimamente perseguite; prescrizione da attuareal più presto e comunque entro e non oltre il 15 maggio 2009, dandonecomunicazione entro la stessa data a questa Autorità;

RITENUTO inoltre di dover prescrivere adUnitalsi di provvedere alla designazione degli incaricati nel rispetto dellaprescrizione contenuta nell'art. 30 del Codice, al più presto e comunque entroe non oltre il 15 maggio 2009, dandone comunicazione entro la stessa data aquesta Autorità;

CONSIDERATO che, in caso di inosservanzadelle suddette prescrizioni (di cui al punto 1 del dispositivo), potrà rendersiapplicabile la sanzione amministrativa di cui all'art. 162, comma 2 ter delCodice;

RILEVATO peraltro il non luogo aprovvedere in merito alla richiesta di blocco avanzata dalla reclamante, tenutoconto che, allo stato degli atti, risulta che il trattamento oggetto dicontestazione ha esaurito i propri effetti e che la reclamante non risulta esserepiù socia di Unitalsi;

RITENUTO di disporre la trasmissionedegli atti e di copia del presente provvedimento all'autorità giudiziaria perle valutazioni di competenza in ordine agli illeciti penali che riterràeventualmente configurabili;

VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO ILGARANTE

1. ai sensi degli artt. 143, comma1, lett. b) e 154, comma 1, lett.c), del Codice, prescriveall'Unione nazionale italiana trasporto ammalati a Lourdes e santuariinternazionali-Unitalsi, con sede in Roma, di:

a. adottare, al più presto ecomunque entro e non oltre il 15 maggio 2009, le misure di sicurezza previstedagli artt. 31 ss. del Codice in relazione ai trattamenti effettuati per iltramite del c.d. "archivio morto" (il cui utilizzo deve restare confinato alperseguimento delle sole finalità storiche e statistiche), idonee a contenereil rischio di operazioni di trattamento non consentite o non compatibili con lefinalità legittimamente perseguite;

b. provvedere alla designazionedegli incaricati nel rispetto della prescrizione contenuta nell'art. 30 delCodice, al più presto e comunque entro e non oltre il 15 maggio 2009;

2. ai sensi dell'art. 157 delCodice, l'adozione delle predette misure dovrà essere adeguatamente documentataa questa Autorità, entro e non oltre il 15 maggio 2009;

3. dispone la trasmissione degliatti e di copia del presente provvedimento all'autorità giudiziaria per levalutazioni di competenza in ordine agli illeciti penali che riterràeventualmente configurabili.

Roma, 26 marzo e 2 aprile 2009

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
Patroni Griffi