Articolo pubblicato su altalex
Nelle ultime settimane tiene banco la lite tra l’Associazione Movimento 5 stelle e la piattaforma Rousseau, attraverso la quale il Movimento, sin dalle sue origini, ha gestito i dati degli iscritti e svolto tutti i servizi essenziali per mantenere in piedi l’infrastruttura tecnologica, organizzativa, amministrativa, burocratica, formativa e comunicativa necessaria per la partecipazione di iscritti, portavoce e cittadini alla vita politica, nonché per la tutela legale del Garante e di tutti gli organi politici del Movimento.
Quella tra il Movimento e Rousseau è più che una collaborazione: è un rapporto simbiotico, tanto che comunemente vengono associati alla stessa idea di partecipazione attiva on line, che da sempre è stato cavallo di battaglia ed elemento caratterizzante l’ideologia del Movimento.
Attraverso la piattaforma Rousseau, si sono svolte tutte le votazioni che hanno deciso le scelte politiche del Movimento, come i voti di fiducia agli ultimi governi che quest’ultimo ha appoggiato.
Proprietaria della piattaforma Rousseau è l’Associazione Rousseau.
Nel tempo, la piattaforma è stata più volte attenzionata dal Garante privacy, che ha ritenuto di comminare, con il provvedimento 4 aprile 2019, n. 83, la sanzione di € 50.000,00 per una serie di criticità rilevate, tra cui un data breach verificatosi nel 2017.
Il rapporto tra l’Associazione Rousseau e il Movimento si è gravemente inclinato in queste ultime settimane per presunti crediti vantati nei confronti di quest’ultimo, che da par suo ne contesta l’ammontare.
Contestualmente si è aperta la battaglia sui dati personali.
Il Movimento afferma di non essere in possesso dei dati degli iscritti, poiché di fatto tutta la gestione dell’attività ordinaria e straordinaria è stata (ed è tutt’ora) interamente gestita dall’Associazione Rousseau in nome e per conto del Movimento stesso.
Ha quindi formalmente invitato il legale rappresentante dell’Associazione Rousseau a voler riconsegnare i dati degli iscritti al Movimento, senza i quali, di fatto, l’attività statutaria è paralizzata.
Non vi è dubbio alcuno che applicando i principi di cui al Regolamento europeo nr. 679/2016 (GDPR), Titolare dei dati degli iscritti è il Movimento (cfr. art. 4 nt. 7 gdpr) e Responsabile esterno del trattamento (ex art. 28 GDPR) è l’Associazione Rousseau.
L’informativa privacy del Movimento conferma quanto sopra: “Il trattamento è operato dal Titolare, tramite l’Associazione Rousseau, con sede in via Gerolamo Morone, 6 – 20121 Milano (MI), designata, ai sensi dell’art. 28 del GDPR, Responsabile del trattamento”.
Contribuisce ad intricare la complicata matassa di interessi (economici e non) che legano gli attori di questa vicenda la (ingenua) previsione all’interno dello statuto del Movimento l’art. 1 lett. c) secondo la quale: “Gli strumenti informatici attraverso i quali l’associazione si propone di organizzare le modalità telematiche di consultazione dei propri iscritti disciplinate nel prosieguo del presente Statuto, nonché le modalità di gestione delle votazioni, di convocazione degli Organi Associativi, di pubblicazione di – a titolo esemplificativo e non esaustivo – avvisi e/o provvedimenti e/o direttive e/o decisioni saranno quelli di cui alla cd. ‘Piattaforma Rousseau’, mediante appositi accordi da stipularsi con l’Associazione Rousseau”.
Da un lato, l’obbligo previsto nello Statuto di utilizzare solo la “piattaforma Rousseau” per gestire tutte le attività del Movimento, dall’altro l’impossibilità di utilizzare Rousseau per votare una modifica dello Statuto.
In questa situazione di cortocircuito si aggiunge la posizione del legale rappresentante dell’Associazione Rousseau che afferma di voler riconsegnare i dati personali degli iscritti al legale rappresentante del Movimento che, tuttavia, non può essere votato attraverso la piattaforma e quindi di fatto non è ancora stato ufficialmente nominato.
Per tentare di giustificare l’impossibilità della materiale restituzione dei dati, l’Associazione strumentalizza la recentissima decisione della Corte d’Appello di Cagliari che ha statuito che il Movimento allo stato attuale, non ha un rappresentante legale, dichiarando inammissibile il reclamo presentato da Vito Crimi contro la nomina di un curatore speciale per il M5S, nell’ambito della causa intentata dalla consigliera regionale (espulsa e poi reintegrata) Carla Cuccu.
Ebbene, le motivazioni a sostegno della mancata riconsegna dei dati degli iscritti sono prive di pregio, poiché, come anche reso noto nell’informativa del Movimento, Titolare dei dati non è il legale rappresentante del Movimento, ma il Movimento stesso.
È evidente che il mancato riscontro della richiesta di restituzione dei dati da parte del Responsabile esterno del trattamento (a prescindere dalle motivazioni a supporto) sia del tutto illegittima oltre che gravemente lesiva degli interessi del Titolare. Nè alla fattispecie de quo potrà essere applicato il diritto di ritenzione ex art. 2235 c.c.
L’atteggiamento di chiusura alle legittime richieste del Movimento espone l’Associazione a pesanti conseguenze relative al danno (patrimoniale e non) cagionato al Titolare e ai provvedimenti (anche) sanzionatori del Garante privacy poiché configura, de facto, un illecito trattamento dei dati.
Come è noto, infatti, dal punto di vista del trattamento dei dati, dinanzi alla comunicazione di cessazione del rapporto contrattuale, il Responsabile del trattamento, deve cancellare o restituire tutti i dati personali di cui è in possesso, dopo che è terminata la prestazione dei servizi relativi al trattamento e provvedere alla cancellazione delle copie in suo possesso (art. 28, c. 3 lett g, gdpr).
È altrettanto evidente, tuttavia, che il Movimento, costruendo la propria identità attorno all’utilizzo della piattaforma, avrebbe potuto applicare una politica sul trattamento dei dati personali che prevedesse anche la possibilità di una separazione con il partner storico, elemento che non è stato tenuto nella debita considerazione, nella valutazione del rischio.