Ricordate la querelle relativa ai dati degli iscritti del Movimento 5 Stelle? Ebbene, è di recente intervenuto il Garante per la protezione dei dati personali ordinando all’Associazione Rousseau di consegnare tutti i dati personali degli iscritti al Movimento 5 Stelle.
La domanda che pone l’Associazione Rousseau in un post pubblico è però la seguente: chi è il legale rappresentante cui consegnare tali dati, considerata la decisione della Corte d’Appello di Cagliari per cui al momento attuale il Movimento 5 Stelle “non ha alcun rappresentante legale politico né un soggetto legittimato ad amministrare e/o rappresentare il MoVimento”?
A tale domanda non può rispondere certamente il Garante, il quale all’interno del proprio provvedimento non è entrato nella vicenda ma si è limitato ad acquisire un parere notarile depositato dal Movimento relativamente al profilo di rappresentanza legale.
Tanto premesso, è indubbio che il responsabile del trattamento debba (ai sensi dell’art. 28, par. 3, lett. g) GDPR) restituire i dati al titolare. E il titolare è l’Associazione Movimento 5 Stelle, ovverosia l’organizzazione nella sua interezza. Concetto chiaro, sebbene tutt’oggi alcune informative riportino formule di stile (“in persona del l.r.p.t.”) o veri e propri errori (“titolare del trattamento è il Presidente o legale rappresentante”), probabilmente per dedizione ad inutili formalismi.
Certo, alcune domande possono essere poste in ordine alla trasparenza verso gli iscritti del citato “atto di designazione di Giuseppe Grillo in data 25.4.2016”, all’interno del quale sono stati regolamentati i rapporti con l’Associazione Rousseau. Insomma: si sa solo che addirittura 2 giorni prima della pubblicazione ufficiale del GDPR sono stati regolamentati i rapporti in modo conforme all’art. 28 del citato Regolamento, ma dei contenuti di tale accordo non c’è evidenza per gli iscritti. Nessuna violazione è configurabile in tal senso, ma una migliore trasparenza avrebbe certamente potuto giovare anche agli iscritti.
Molto si potrebbe dire sul regolamentare preventivamente le modalità di consegna di tali dati all’interno di un accordo dedicato. Specificare il come non è un obbligo, ed è sempre possibile impiegare formule generiche, ma si stanno solo spostando dei costi (certamente in termini di tempo, e strategici) nel momento in cui si deve provvedere alla restituzione dei dati o ad una loro cancellazione. Spesso, invece, tale aspetto viene sottovalutato e si (ri)presenta nel momento in cui il servizio affidato al responsabile
Insomma: salvo ricorso avverso il provvedimento del Garante, ora tutto sta nella definizione delle modalità operative di restituzione entro il termine di 5 giorni dalla data dell’ingiunzione (1 giugno 2021).
