L’apposizione di un cartello con il disegno di una telecamera stilizzata non costituisce un’idonea informativa privacy. Sanzione all’Associazione Rescue Drones Network ODV
>>>Leggi l’Ordinanza ingiunzione n. 325 del 6 ottobre 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto un reclamo da parte di un soggetto che era stato aderente ad una associazione. In particolare, detto soggetto era stato uno dei soci fondatori di detta associazione e aveva ricevuto, per tale ragione, la disponibilità di un account di posta elettronica nominativo e con il dominio dell’associazione stessa. Nell’ottobre del 2021, tuttavia, il reclamante riferiva di essere stato informato dal rappresentante legale dell’associazione che nei suoi confronti era stato adottato un provvedimento disciplinare in virtù del quale egli aveva perso lo status di associato. Nello stesso giorno, il reclamante si avvedeva che l’account di posta elettronica di cui sopra era stato bloccato e non era da lui più accessibile. Conseguentemente, il reclamante rivolgeva una richiesta al Presidente dell’associazione con cui chiedeva di poter accedere temporaneamente all’account di posta elettronica per poter estrarre copia delle email e degli altri documenti ivi contenuti al fine di predisporre l’azione di opposizione avverso il provvedimento disciplinare irrogato nei suoi confronti.
Nonostante ciò, l’associazione non forniva alcun riscontro al reclamante, il quale nuovamente inviava una richiesta di accesso e precisava che il mancato accoglimento delle sue richieste avrebbe configurato una violazione alla normativa in materia di protezione dei dati personali.
Infine, in considerazione del mancato riscontro anche alla seconda richiesta, il reclamante presentava il reclamo presso il Garante privacy.
A seguito della ricezione del reclamo, il Garante, ritenendo che l’associazione avrebbe effettuato trattamenti di dati personali, ha contestato a quest’ultima l’ipotesi di violazione dei diritti di accesso dell’interessato ai propri dati personali con riferimento all’account di posta elettronica che gli era stato attribuito dall’associazione.
A fronte dell’invito del Garante a fornire la propria posizione in merito ai fatti contestati, l’associazione si difendeva sostenendo, in primo luogo, che il blocco all’accesso dell’account di posta elettronica del reclamante era legittimo in considerazione della sua esclusione dall’associazione. Infatti, secondo quest’ultima, i dati contenuti all’interno della email dell’ex associato non rivestirebbero carattere di dati personali, ma sarebbero di natura non personale, in quanto appartenenti all’associazione medesima, e che qualora vi fossero stati dei dati personali, ciò sarebbe avvenuto in violazione delle norme statutarie, in quanto l’account in questione aveva soltanto finalità associative.
In secondo luogo, l’associazione riferiva che, dopo il blocco della casella di posta elettronica, nessuno aveva avuto accesso ai dati ivi contenuti, né tantomeno detti dati erano stati cancellati. L’unico accesso che vi era stato, era durato pochi minuti ed era dipeso dalla necessità di verificare un possibile problema tecnico che era stato segnalato dal sistema.
Potrebbero interessarti anche
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria effettuata sia emerso con certezza che l’associazione abbia “congelato” l’account di posta elettronica che era stato messo a disposizione del reclamante quando egli era associato e che la stessa abbia omesso di dare riscontro alle ripetute richieste di accesso del reclamante ai dati personali contenuti all’interno di detto account. Inoltre, dall’istruttoria è altresì emerso che le richieste di accesso del reclamante erano tutte state formulate ai sensi della normativa in materia di protezione dei dati personali.
Secondo il Garante, il rifiuto da parte dell’associazione di consentire all’ ex associato di poter accedere temporaneamente alla casella di posta elettronica che gli era stata assegnata dall’associazione stessa, al fine di acquisire le informazioni personali ivi presenti è contrario alla normativa in materia di privacy e determina un danno ai diritti e alle libertà dell’interessato.
Infatti, in ragione della scelta volontaria dell’associazione di non consentire al reclamante l’accesso all’account di posta elettronica, questi non è stato messo in grado di ricostruire il patrimonio informativo che egli aveva realizzato nel corso della propria attività all’interno dell’associazione.
D’altra parte, secondo il Garante, non appare fondata la difesa dell’associazione secondo cui i dati contenuti nell’account di posta elettronica di cui si discute fossero dati dell’associazione medesima né quella secondo cui vi fosse un divieto per il reclamante di usare l’email associativa per finalità personali, in quanto il suddetto divieto non è presente nello Statuto e nel Codice Etico dell’associazione e in quanto il titolare stesso non aveva mai chiarito le modalità di utilizzo delle email associative da parte dei soci, adottando un disciplinare in merito o comunque fornendo informazioni al riguardo.
Ciò precisato, il Garante ha ricordato che l’art. 15 del Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati personali che lo riguardano e in caso positivo di avere accesso a detti dati.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che il rifiuto da parte dell’associazione di permettere al ex associato di accedere al proprio account di posta elettronica associativo per estrarre copia dei dati personali ivi contenuti costituisce una violazione della normativa privacy e in particolare del richiamato art. 15 del GDPR.
Conseguentemente, il Garante ha ordinato al titolare del trattamento di provvedere a soddisfare le richieste dell’ex associato con riferimento al diritto di accesso ai propri dati personali contenuti nell’ account di posta elettronica associativa e di comunicare al Garante stesso, entro i successivi 30 giorni, documentazione idonea a dimostrare l’adempimento a quanto prescritto.
Per quanto concerne, invece, la quantificazione della sanzione pecuniaria, al fine di stabilire una sanzione che fosse effettiva e dissuasiva nei confronti del titolare (anche rispetto al fatto che fosse un’ associazione impegnata nell’ambito della protezione civile), il Garante ha valutato, da un lato, la gravità del rifiuto posto in essere dal titolare del trattamento e il fatto che quest’ ultimo ha reiterato il proprio rifiuto per diversi mesi; dall’altro lato, ha considerato che il titolare non aveva una finalità lucrativa.
In considerazione di tutto quanto sopra, il Garante ha ritenuto di poter applicare una sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 3.000,00 (tremila).
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento