Trattamento illecito dei dati- Il Garante Privacy sanziona FEDERPOL

È illecito il trattamento dei dati personali relativi ad un iscritto di una Associazione (in questo caso la FEDERPOL) in riferimento alla circolazione degli stessi all’interno della compagine associativa, in assenza di norme statutarie che lo prevedano e in assenza del consenso rilasciato liberamente dall’interessato (Provvedimento del Garante per la protezione dei dati personali n. 165 del 29 aprile 2021).

I fatti.

Un Socio della FEDERPOL (Federazione Italiana Istituti di Investigazione Informazioni Sicurezza) invia una comunicazione al Consiglio Nazionale nel quale manifestava il proprio dissenso avverso le attività poste in essere dal Presidente Nazionale pro tempore.

Successivamente tale missiva veniva portata all’attenzione del Consiglio Esecutivo e successivamente dal Consiglio Nazionale.

I susseguenti verbali venivano trasmessi a tutti i soci riportando in chiaro il nome del socio che aveva manifestato il proprio dissenso, con ulteriori commenti espressi dagli organi statutari.

Il Socio chiedeva quindi alla FEDERPOL, a tacitazione delle sue doglianza, la rettifica dei verbali emendati delle parti in cui era indicato il suo nome e l’invio della sua comunicazione a tutti i soci affinché potessero valutarne i contenuti.

A seguito del diniego da parte di FEDERPOL di aderire alle richieste del socio, lo stesso socio ha deciso di attivare la procedura di infrazione davanti al Garante per la Protezione dei dati personali.

La decisione del Garante

Pertanto il Garante ha sanzionato la FEDERPOL in quanto ha ritenuto che “In particolare, l’avvenuta comunicazione – tramite newsletter – a tutti gli associati (oltre mille) delle informazioni riferite al reclamante – come contenute nelle delibere adottate dagli organi sociali (informazioni che rivestono un carattere squisitamente personale) è illecita in quanto effettuata in assenza del consenso dell’interessato o di altro legittimo presupposto (art. 6, par. 1), nonché in violazione dei principi generali di liceità, correttezza e minimizzazione nel trattamento dei dati rispetto alle finalità perseguite di cui all’art. 5, par. 1, lett. a) e c) del Regolamento”.

Prosegue poi il Garante affermando che “Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento, per l’illiceità del trattamento posto in essere dalla Federazione in violazione dei presupposti di liceità di cui agli art. 5, lett. a) e c) e 6, par. 1 del Regolamento.”

Sotto altro angolo visuale si deve rappresentare che il Garante dopo un’approfondita indagine svolta anche nel rispetto del contradditorio ha ritenuto che “con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione, che ha riguardato i principi generali di liceità nel trattamento dei dati personali e la gravità della stessa, con riferimento all’ampiezza del numero di destinatari della comunicazione illecita”.

In conclusione ed ancora una volta il Garante Privacy interviene sui principi generali applicabili al trattamento dei dati personali (art. 5 del Regolamento Europeo) e alla liceità del trattamento (art. 6 di detto Regolamento).

Principi generali che sono alla base e fondamento del Regolamento Europeo 679/2016 pubblicato anche in Italia il 27 aprile 2016 ben 5 anni or sono.

Principi generali che erano peraltro già in vigore nel decreto legislativo 30/06/2003 n. 196 e che permeavano allora come oggi tutto il testo normativo in materia di trattamento dei dati personali.

Nel caso di specie, quindi, così ha concluso il Garante: “ORDINA, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Federpol, avente sede in Roma, Via Milano 51, P.I. 12048461003, in persona del legale rappresentante pro tempore di pagare la somma di euro 5000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione.”

Il Garante ha ritenuto inoltre attesa la durata, la gravità e la natura della violazione di disporre “la pubblicazione del presente provvedimento sul sito web del Garante” nonché “l’annotazione nel registro interno dell’Autorità previsto dall’articolo 57, paragrafo 1, lettera u), del RGPD, delle violazioni e delle misure adottate in conformità all’articolo 58, paragrafo 2, del RGPD”.

Scarica qui il Provvedimento del Garante per la protezione dei dati personali n. 165 del 29 aprile 2021.

Condividi articolo

Invia questo approfondimento a colleghi e clienti con un click.

Approfondisci

Serve supporto su questo tema?

Contatto diretto con il team per valutare il caso concreto.

Richiedi consulenza

Altre news della stessa categoria