venerdì, Marzo 29, 2024
Uncategorized

A chi appartengono i dati degli iscritti al Movimento 5 Stelle?

Negli ultimi mesi la cronaca politica del Paese ha dato ampio spazio alla riorganizzazione interna del Movimento 5 Stelle[1], il quale, tra le altre cose, ha deciso di separarsi dall’Associazione Rousseau e dall’omonima piattaforma da essa gestita[2]. Questo divorzio ha inevitabilmente rappresentato l’innesco di numerose polemiche e strascichi, tra cui, per ciò che qui interessa, quelli relativi ai dati personali degli iscritti al Movimento[3]. Ma procediamo con ordine.

Rousseau è una piattaforma che offre varie tipologie di servizi ai cittadini iscritti, tra cui l’e-voting, ossia la possibilità di esprimere il proprio voto nell’ambito di forme di democrazia diretta, o partecipata che dir si voglia[4]. Ma in che modo è legata al Movimento? La formazione politica fondata da Beppe Grillo, che della democrazia diretta fa un proprio cavallo di battaglia, si è servita proprio della piattaforma[5] per dare agli iscritti la possibilità di esprimersi sugli aspetti essenziali riguardanti il Movimento stesso[6]. In altre parole, la piattaforma ha, dal 2016 ad oggi, messo a disposizione gli strumenti informatici necessari all’attuazione di quella e-democracy componente fondamentale del programma pentastellato.

Da un punto di vista pratico questa collaborazione tra Movimento e piattaforma ha portato ad un naturale e logico trasferimento dei dati dei soggetti iscritti al primo ente verso il secondo[7]. Dando un’occhiata alla privacy policy del partito[8] è infatti possibile constatare che esso, in persona del legale rappresentante pro tempore, risulta essere il titolare del trattamento dei dati, cioè il soggetto che determina le finalità e le modalità (e dunque i “perché” e i “come”) del trattamento stesso, mentre l’Associazione Rousseau, che gestisce la piattaforma, è qualificata come responsabile del trattamento, cioè come il soggetto che di fatto tratta[9] i dati personali.

Ora, ai sensi dell’articolo 28, paragrafo 3, del GDPR i rapporti tra titolare e responsabile devono essere cristallizzati all’interno di un vero e proprio negozio giuridico, in genere un contratto, il data processing agreement (DPA) secondo la terminologia anglosassone. Tale accordo deve, in particolare, individuare l’oggetto, la natura e le finalità del trattamento oltre ai diritti spettanti e agli obblighi gravanti sulle parti. E tra questi obblighi merita una menzione speciale quello previsto della lettera g), secondo cui il responsabile è obbligato, alla fine del rapporto e su scelta del titolare, alla cancellazione ovvero alla restituzione di tutti i dati personali in suo possesso.

Come preannunciato, nelle ultime settimane si è assistito al divorzio tra le due entità, e da qui i problemi relativi ai dati. Da un lato, la formazione politica, in quanto titolare del trattamento, e in forza del citato articolo 28, ha chiesto e preteso, per il tramite del suo “reggente”, la cessione immediata di tutti i dati relativi alla propria base[10]. Dall’altro lato l’Associazione cui fa capo Davide Casaleggio ha rifiutato qualsivoglia tipo di trasferimento in quanto contrario alle norme, anche penali, poste a tutela della privacy. In particolare, per i vertici di Rousseau il “reggente” non è qualificabile come rappresentante legale del Movimento, per cui non sarebbe legittimato a concretarne la volontà, e di conseguenza a chiedere e ottenere i dati personali[11].

Ma è davvero così? Innanzitutto, giova precisare che la determinazione del rappresentante legale di un’associazione non riconosciuta (quale è il Movimento) è rimessa alle norme statutarie. Al riguardo, l’articolo 7, lettera a) dello statuto del Movimento prevede che la rappresentanza spetti ad un apposito soggetto nominato dal Comitato direttivo, ossia l’organo destinato a guidare la formazione politica. Il problema è che, ad oggi, un Comitato direttivo non esiste ancora e dunque il soggetto che di fatto rappresenta il M5S (il “reggente”) non sembra essere legittimato a tale scopo, anche perché nominato sulla base dello statuto precedente, abrogato già da qualche tempo.

Tale posizione sembra essere stata recepita dal Tribunale di Cagliari[12] nell’ambito di una controversia insorta in seguito alla discussa espulsione dal Movimento di una consigliera regionale della Sardegna, che adiva infatti l’autorità giudiziaria al fine di veder soddisfatte le proprie ragioni ripristinatorie e risarcitorie. Emergeva però una problematica, legata appunto all’assenza di un rappresentante legale che potesse stare in giudizio in nome e per conto del Movimento. Veniva dunque presentata dalla parte attrice istanza di nomina, ai sensi dell’articolo 78 c.p.c., di un curatore speciale cui conferire poteri di rappresentanza processuale fino alla nomina del rappresentante legale[13]. E il Tribunale di Cagliari effettivamente accoglieva l’istanza, esprimendosi dunque esplicitamente anche sulla questione in esame. Sembra, pertanto, che, da questo punto di vista, l’Associazione Rousseau abbia ragione. Tuttavia, un’interpretazione più accurata del citato articolo 28 GDPR sembra fornire risposte diverse soprattutto se si considera che la volontà circa la restituzione/cancellazione dei dati personali non necessariamente deve essere manifestata successivamente alla cessazione del rapporto tra controller e processor, ben potendo essere cristallizzata ex ante all’interno del DPA.

Per meglio comprendere questa dinamica si prenda di nuovo in considerazione l’articolo 28, e nello specifico i paragrafi 6 e 7, i quali prevedono la possibilità di fare ricorso a clausole contrattuali standard, elaborate dalla Commissione Europea ovvero da un’autorità di controllo. Ebbene, dando un’occhiata al contratto tipo predisposto dalla Commissione nel 2020 è possibile osservare, al punto 7.2 la cristallizzazione dell’obbligo del processor alla cancellazione ovvero alla restituzione dei dati al legittimo titolare nel momento in cui viene a cessare il rapporto giuridico tra essi stessi intercorrente[14]. È questa una clausola palesemente automatica, che si attiva soltanto in seguito all’avveramento di una condizione, nella specie la cessazione del rapporto tra le parti. È evidente, dunque, che nessuna volontà espressa dell’ente titolare è necessaria affinché il responsabile restituisca, o cancelli, i dati, e non potrebbe essere altrimenti in quanto, con la cessazione del rapporto, viene meno anche il titolo legittimante la detenzione (sempre che, a norma del GDPR, il diritto interno dei singoli Paesi o il diritto dell’UE non prevedano espressamente la conservazione dei dati). Non appare altresì decisiva l’assenza di un legittimo rappresentante cui “consegnare” i dati, dal momento che, come visto, il titolare del trattamento non è il rappresentante legale bensì il Movimento nella sua interezza (in persona del legale rappresentante), che, nonostante la presunta inesistenza di un soggetto abilitato ad esprimerne la volontà all’esterno, rimane comunque un soggetto di diritto e dunque titolare di situazioni giuridiche soggettive e centri di interesse.

In conclusione, il superamento della questione sembra non poter prescindere da un’attenta analisi del DPA disciplinante i rapporti tra M5S e Associazione Rousseau.

[1] Ceccato M., Arriva il sì di Conte a Grillo per ‘rifondare’ il Movimento 5 stelle, www.agi.it, disponibile qui: , 12 maggio 2021.

[2] Rousseau si separa dal Movimento: “Non ha saldato i debiti, nostri dipendenti in cassa integrazione”. M5s: “Piattaforma non più neutrale, ne useremo un’altra”, www.ilfattoquotidiano.it, disponibile qui: https://www.ilfattoquotidiano.it/2021/04/23/rousseau-si-separa-dal-movimento-non-ha-saldato-i-debiti-nostri-dipendenti-in-cassa-integrazione-m5s-piattaforma-non-piu-neutrale-ne-useremo-unaltra/6175322/, 12 maggio 2021.

[3] Pucciarelli M., M5S, Conte sfida Rousseau: “Vogliamo i dati degli iscritti”. La battaglia sui debiti: offerti a Casaleggio 180 mila euro, www.repubblica.it, disponibile qui: https://www.repubblica.it/politica/2021/04/24/news/m5s_giuseppe_conte_con_rousseau_strade_divise_il_vero_tema_in_gioco_era_la_distinzione_dei_ruoli_non_una_partita_contab-297881076/, 12 maggio 2021.

[4] Per approfondire la tematica dell’e-voting si veda Stefanello D., Internet voting: le criticità in termini di sicurezza informatica e protezione dei dati personali, 2019, disponibile qui: https://www.iusinitinere.it/internet-voting-le-criticita-in-termini-di-sicurezza-informatica-e-protezione-dei-dati-personali-18735.

[5] Dopo vari step che hanno comunque visto parte attiva la Casaleggio Associati s.r.l., società legata ai vertici di Rousseau.

[6] Tutti i voti su Rousseau. Ecco che cos’è la piattaforma del M5S, www.repubblica.it, https://www.repubblica.it/politica/2021/02/10/news/rousseau-piattaforma-che-cosa-e_-286870028/, 12 maggio 2021.

[7] Che, tra l’altro, è il solo ad avere la materiale disponibilità dei dati.

[8] L’informativa per gli iscritti al Movimento è disponibile qui: https://s3-eu-west-1.amazonaws.com/associazionerousseau/documenti/PrivacyAssociazioneMoVimento5Stelle.pdf.

[9] Sulla base dell’articolo 4 GDPR per trattamento deve intendersi qualsivoglia operazione (come la raccolta, la registrazione, l’organizzazione, la conservazione, l’uso, la diffusione, ecc.) applicata ai dati personali.

[10] Conte intima a Casaleggio: «Consegnami l’elenco degli iscritti M5s, in nome della legge», www.open.online, https://www.open.online/2021/05/06/m5s-conte-vs-casaleggio-dati-iscritti/, 12 maggio 2021.

[11] Guerra Casaleggio-Conte: Rousseau nega ai vertici M5s i dati sugli iscritti, www.agi.it, https://www.agi.it/politica/news/2021-05-10/guerra-casaleggio-conte-no-rousseau-dati-iscritti-m5s-12492784/, 22 maggio 2021.

[12] E successivamente dalla Corte di Appello.

[13] Articolo 78 c.p.c., Se manca la persona a cui spetta la rappresentanza o l’assistenza, e vi sono ragioni d’urgenza, può essere nominato all’incapace, alla persona giuridica o all’associazione non riconosciuta un curatore speciale che li rappresenti o assista finché subentri colui al quale spetta la rappresentanza o l’assistenza.

[14] Il progetto della Commissione Europea è disponibile qui: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12740-Protezione-dei-dati-clausole-contrattuali-standard-fra-titolari-e-responsabili-del-trattamento-con-sede-nellUE-atto-di-esecuzione-_it. Si allega, altresì, il link del contratto tipo elaborato dall’autorità danese, disponibile qui: https://edpb.europa.eu/sites/default/files/files/file1/dk_sa_standard_contractual_clauses_january_2020_it.pdf.

Gennaro Calimà

Nato a Castrovillari, in provincia di Cosenza, il 9 giugno 1994. Dopo aver conseguito la maturità scientifica si iscrive al corso di laurea in Giurisprudenza dell'Università della Calabria presso la quale consegue nel 2020 il titolo di dottore magistrale discutendo una tesi in Diritto processuale penale dal titolo "Le nuove frontiere delle neuroscienze nel processo penale". Dallo stesso anno, oltre ad aver intrapreso la pratica legale, ha iniziato a collaborare con Ius in itinere per l'area "IP & IT".

Lascia un commento