Il ritrovamento casuale di un dispositivo di archiviazione dati non legittima il trattamento dei dati personali in esso memorizzati.
>>>Leggi il provvedimento del Garante n. 367 del 10-11-2022<<<
1. I fatti
Uno studente di un Conservatorio statale di musica presentava un reclamo al Garante per la protezione dei dati personali, sostenendo che il Conservatorio gli aveva comminato una sanzione disciplinare per le dichiarazioni che lo studente aveva espresso durante un’assemblea degli studenti che si era svolta mediante zoom e convocata da un’organizzazione studentesca. In particolare, il reclamante sosteneva che il Conservatorio avrebbe acquisito la registrazione e la trascrizione audio del video dell’assemblea, senza che gli organizzatori ne avessero previsto la registrazione, e da tali registrazioni avrebbe preso conoscenza delle dichiarazioni.
Il Garante invitava, quindi, il Conservatorio a far pervenire le proprie osservazioni sui fatti esposti nel reclamo e l’ente esponeva quanto segue.
In primo luogo, faceva presente che l’assemblea non era stata organizzata dal Conservatorio, ma da un’associazione studentesca e alla stessa avevano partecipato anche soggetti che non erano studenti, in quanto il link di collegamento alla stessa era stato diffuso tramite vari social network. Pertanto, non si poteva ritenere che l’ente avesse fatto un uso improprio dei dati personali poiché detti dati erano riferiti a circostanze ed eventi esterni al Conservatorio, cioè ad una riunione pubblica dove gli organizzatori avevano specificato che la stessa sarebbe stata registrata, con la conseguenza messa a disposizione del pubblico dei dati personali dei partecipanti.
In secondo luogo, faceva presente che il Conservatorio aveva rinvenuto una chiavetta usb che conteneva il file della videoregistrazione dell’assemblea in questione, ma senza sapere chi avesse compiuto la registrazione e chi avesse lasciato la chiavetta nei locali del Conservatorio, e successivamente aveva commissionato ad un perito fonico (iscritto albo del Tribunale di Roma) l’incarico di effettuare la trascrizione della video registrazione.
In terzo luogo, il Conservatorio evidenziava come durante l’assemblea il reclamante fosse intervenuto più volte con dichiarazioni dai contenuti tali da integrare gli estremi per configurare una responsabilità disciplinare a suo carico, per violazione degli obblighi di condotta degli studenti previsti dal Regolamento degli studenti. In ragione di ciò, il Direttore del Conservatorio era stato costretto ad esperire l’azione disciplinare nei confronti del reclamante, in quanto tenuto dalla normativa di settore, e l’esercizio di tale azione comportava necessariamente il trattamento di dati personali dei soggetti destinatari del provvedimento finale, (trattamento) che pertanto trovava la loro base giuridica nelle suddette disposizioni normative di settore.
Infine, il Conservatorio evidenziava che la trascrizione contenente i dati del reclamante (cioè le sue dichiarazioni ed immagini dell’assemblea) era un semplice atto interno del procedimento sanzionatorio e per tale ragione era secretato e conservato in un luogo non accessibile da persone diverse dal Direttore. Inoltre, la trascrizione era stata compiuta da un professionista iscritto all’albo e pertanto tenuto al segreto professionale. Infine, la trascrizione e i dati del reclamante non erano state inserite all’interno del provvedimento finale irrogato nei confronti del reclamante.
In considerazione di ciò, sosteneva il Conservatorio, non vi erano state ulteriori diffusioni e comunicazioni dei dati del reclamante.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, l’Autorità ha ricordato come il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” e che la normativa italiana ha maggiormente delineato i limiti per il trattamento, prevedendo che le operazioni di trattamento di dati personali sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Anche nel caso in cui il trattamento sia previsto dalla normativa nazionale, il titolare è comunque tenuto a rispettare i principi in materia di protezione dei dati nonché a trattare i dati mediante il personale autorizzato e debitamente istruito in merito all’accesso ai dati.
Per quanto qui di interesse, il Garante, all’esito dell’istruttoria, ha ricostruito che l’assemblea degli studenti (dove il reclamante aveva esposto le sue dichiarazioni), svoltasi mediante collegamento a una piattaforma telematica, non era stata organizzata e/o convocata dal Conservatorio, ma indetta da un’associazione studentesca, e che successivamente era stata rinvenuta nei locali del Conservatorio una chiavetta USB contenente la registrazione di detta assemblea, senza che vi fossero elementi idonei ad individuare il proprietario del dispositivo. Ciononostante l’allora Direttore del Conservatorio, presa visione del contenuto del dispositivo, aveva incaricato un perito di trascrivere i contenuti del file memorizzato sul supporto e successivamente aveva avviato un procedimento e irrogato una specifica sanzione disciplinare nei confronti del reclamante in ragione delle dichiarazioni che in base alla citata
trascrizione, sarebbero a questo imputabili in occasione della predetta assemblea.
Secondo il Garante qualsiasi trattamento di dati personali deve essere effettuato nel rispetto della normativa in materia di privacy e i dati devono comunque essere trattati in modo lecito, corretto e trasparente e devono essere raccolti per finalità determinate, esplicite e legittime (c.d. principio di limitazione della finalità).
È possibile effettuare trattamenti successivi dei medesimi dati, soltanto se ciò non sia incompatibile con le finalità per cui i dati erano stati inizialmente trattati.
In considerazione di tali principi, il titolare del trattamento può utilizzare, per trattamenti ulteriori, soltanto quei dati personali che sono stati raccolti in maniera lecita e in presenza di una idonea base giuridica.
In altri termini, soltanto se i dati siano stati raccolti originariamente in maniera lecita, il titolare potrà compiere ulteriori trattamenti: in caso contrario, qualunque ulteriore trattamento è sempre illecito.
Nel caso di specie, il Conservatorio ha acquisito i dati personali dello studente reclamante grazie ad un casuale ritrovamento di una chiavetta USB dove gli stessi erano contenuti, ma non li ha acquisiti attraverso gli appositi canali istituzionali. Successivamente, ha trattato detti dati, prima per il tramite di un professionista incaricato a effettuare la trascrizione dell’audio e poi ai fini del procedimento disciplinare nei confronti dello studente medesimo.
Ebbene, secondo il Garante, nonostante l’ulteriore utilizzo dei dati dello studente sia stato effettuato dal Conservatorio in base ad una base giuridica astrattamente idonea (cioè nell’ambito dell’esercizio dei poteri disciplinari), il ritrovamento casuale di un dispositivo dove sono archiviati i dati personali non è una ragione sufficiente per rendere legittimo il trattamento dei dati personali ivi contenuti.
Infine, è irrilevante il fatto che la riunione fosse stata accessibile a chiunque per il tramite del link interne pubblicato sui social network.
Pertanto, il Conservatorio avrebbe dovuto astenersi dal trattare i dati personali contenuti nel dispositivo USB.
In conclusione, il Garante ha ritenuto che, poiché i dati personali contenuti nella chiavetta USB non erano utilizzabili per il Conservatorio, anche i successivi trattamenti sono avvenuti in maniera non conforme alla disciplina in materia di protezione dei dati personali e il fatto che siano stati usati nell’ambito dell’esercizio di compiti e poteri attribuiti al Conservatorio non è sufficiente a rendere lecito il trattamento ulteriore e quindi a sanare l’illeicità originaria.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto illecito il trattamento dati compiuto dal Conservatorio e conseguentemente ha disposto l’irrogazione di una sanzione amministrativa pecuniaria nei suoi confronti.
Per quanto concerne la quantificazione dell’importo, il Garante ha valutato, da un lato, la delicatezza dei dati personali in questione (esercizio della libera manifestazione del pensiero), dall’altro lato, l’assenza di precedenti e la cooperazione da parte del Conservatorio ed ha conseguentemente comminato al titolare del trattamento una sanzione amministrativa pecuniaria di €.6.000 (seimila).
Volume consigliato
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento