Parere sullo schema di decreto (di natura regolamentare) del Ministero della Giustizia concernente l’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe”

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1): Il titolare del trattamento dei dati personali relativo all’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe” va individuato nel Ministero della Giustizia, presso cui è istituito il predetto elenco, e non nella persona del Direttore generale della competente Direzione, sotto la cui responsabilità gestionale viene tenuto l’elenco medesimo. Ciò non toglie che il Ministero, in qualità di titolare, possa prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità (cfr. art. 2 quaterdecies del Codice).

Massima (2): Deve considerarsi in violazione del principio di proporzionalità, del principio di limitazione delle finalità e del principio di minimizzazione dei dati e, pertanto, non ammissibile, il trattamento di dati personali consistente nell’acquisizione dell’elenco nominativo degli iscritti alle organizzazioni e associazioni legittimate a proporre una “azione di classe” da cui estrarre un campione per il quale richiedere copia delle contabili dei versamenti delle quote associative o delle conferme di adesione, finalizzato ad esercitare un controllo amministrativo per la verifica dei requisiti posseduti dalle medesime organizzazioni e associazioni per l’iscrizione all’elenco degli enti legittimati a proporre una “azione di classe”. Il controllo amministrativo su tali dati personali, aventi natura particolare ex art. 9 GDPR, potrebbe compromettere la libertà di associazione garantita dall’art. 18 Cost., dissuadendo le persone interessate dalla partecipazione a forme di aggregazione sociale ove poter sviluppare la propria personalità (art. 3, comma 2, Cost.) per il timore di possibili conseguenze di carattere discriminatorio o di esclusione sociale che potrebbero derivare dalla comunicazione a soggetti terzi, per finalità di controllo, della propria scelta associativa in un ambito, peraltro, settoriale, qual è quello dell’esercizio della azione di classe.

Provvedimento: GPDP, Docweb n. 9543119 del 14 gennaio 2021

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9543119

Keywords: principio di liceità del trattamento, titolarità del trattamento, responsabile del trattamento, trattamento dei dati particolari, organizzazioni e associazioni senza scopo di lucro, “azione di classe”, limitazione della finalità, minimizzazione dei dati, proporzionalità, art. 18 Cost., elenco delle organizzazione e a associazioni legittimate a esercitare una “azione di classe”, elenchi pubblici, elenco degli iscritti ad associazioni

Riferimenti normativi: art. 5, par. 1, lett. b) e c), Reg. (UE) 679/2016; art. 9 Reg. (UE) 679/2016; art. 2 quaterdecies d.lgs. 196/2003; art. 3, comma 2, Cost.; art. 18 Cost.

Data del commento: 9 luglio 2021

Massime e Commento di Rosamaria Gallo e Corina Pop

1. Il caso

La legge 12 aprile 2019, n. 31, recante «Disposizioni in materia di azione di classe», introduce una disciplina organica del procedimento volto alla tutela dei diritti individuali omogenei, entrata in vigore il 19 maggio 2021. Il procedimento, fino ad oggi parte del Codice del Consumo, è stato collocato dal Legislatore in un nuovo titolo del codice di procedura civile, il Titolo VIII bis del libro quarto, «Dei procedimenti collettivi» (artt. da 840-bis a 840-sexiesdecies c.p.c.).

L’art. 1 la predetta legge introduce l’art. 840-bis c.p.c. secondo il quale l’azione di classe può essere proposta esclusivamente dalle organizzazioni e associazioni iscritte in un elenco pubblico istituito presso il Ministero della Giustizia. L’art. 2 introduce l’art. 196-ter, disp. att. c.p.c, secondo il quale, con Decreto del Ministero della Giustizia di concerto con il Ministero dello Sviluppo economico, previo parere delle Commissioni parlamentarie competenti, sono stabiliti: i requisiti per l’iscrizione dell’elenco di cui all’art. 840-bis c.p.c.; i criteri per la sospensione e per la cancellazione delle organizzazioni e delle associazioni iscritte; il contributo dovuto ai fini dell’iscrizione e del mantenimento della stessa, nonché le modalità di aggiornamento dell’elenco.

Il Ministero della Giustizia ai sensi dell’art 36, par. 4, del Reg. UE 679/2016 ha richiesto il parere al Garante per la protezione dei dati sullo schema di decreto di cui all’art. 196-ter, disp. att. c.p.c, a cui è seguito il Provvedimento n. 19 del 14 gennaio 2021 (Docweb n. 9543119), che ha evidenziato, tuttavia, due diversi rilievi di criticità, rispettivamente in merito alla corretta individuazione del titolare del trattamento dei dati ai sensi dell’art. 4, par 1, n. 7, del Reg. (UE) 679/2016 in ambito pubblico e in merito al trattamento dei dati particolari in applicazione dell’art. 9 GDPR e art 2 sexiesdel Codice Privacy novellato dal d.lgs. n. 101/2018.

2. Le questioni

Lo schema di decreto sottoposto alla valutazione del Garante per la protezione dei dati personali, è stato oggetto di valutazione sotto il profilo della conformità ai principi di liceità del trattamento previsti dalla normativa sovranazionale e nazionale sul trattamento dei dati personali, sotto diversi profili.

È da premettere che detto schema di decreto, agli artt. 1 e 2 disciplinava l’istituzione dell’elenco delle organizzazioni e delle associazioni senza scopo di lucro, legittimate alla proposizione dell’azione di classe presso il Ministero della giustizia, affidato alla responsabilità gestionale del Direttore generale della competente direzione, al quale tuttavia veniva erroneamente attribuita anche la titolarità del trattamento dei dati personali in esso contenuti.

Lo schema di decreto all’art. 7, nel disciplinare i requisiti di mantenimento dell’iscrizione nell’elenco, attribuiva al responsabile gestionale dell’elenco (Direttore generale), il potere di effettuare accertamenti presso le sedi dell’associazione, nonché di richiedere la trasmissione di ulteriore documentazione, tra cui anche l’elenco completo degli iscritti da cui estrarre un campione per il quale richiedere copia delle contabili dei versamenti delle quote associative o delle conferme di adesione. Pur con tutta una serie di cautele, quali la trasmissione su apposito supporto digitale crittografato, ovvero consegnati e conservati in apposita busta chiusa e sigillata, e che la decifratura dei dati contenuti negli elenchi inviati in forma crittografata avvenisse utilizzando una apposita procedura formalizzata (comma 4), detto elenco degli iscritti rimaneva depositato presso la Direzione Generale per il tempo strettamente necessario ai controlli, con modalità e forme volte a garantire l’integrità. Una volta esauriti i controlli, i suddetti elenchi venivano restituiti all’associazione.

Con il provvedimento in esame il Garante affronta due questioni rilevanti: (i) la prima riguarda la corretta individuazione del soggetto a cui va attribuita la titolarità del trattamento e, di conseguenza, l’inquadramento, tra le figure soggettive previste dalla disciplina in materia di protezione dei dati personali, dei soggetti, diversi dal titolare, che hanno compiti gestionali e di altro tenore sui dati personali oggetto di trattamento; (ii) la seconda questione riguarda invece l’ammissibilità o meno, da parte del titolare del trattamento, di apprendere l’identità dei soggetti che risultino iscritti alle organizzazioni e associazioni legittimate a proporre una “azione di classe”, che chiedono l’iscrizione al predetto elenco e ciò al file di esercitare i controlli per la verifica dei requisiti di iscrizione nell’elenco.

2.1. Individuazione della titolarità del trattamento

Esaminati gli articoli del suddetto schema di decreto, a parere del Garante della protezione dei dati veniva rilevato un primo profilo di non conformità alle disposizioni del GDPR, anche alla luce delle linee guida del EDPB n. 7/2020 del 19 ottobre 2020 sul concetto del titolare e del responsabile del trattamento e sul loro corretto inquadramento in ambito pubblico.

Occorre al proposito rilevare che, in relazione all’inquadramento della figura del Titolare del trattamento nel settore pubblico, già da tempo il Garante aveva provveduto a riassumerne i principi, desumibili dalla giurisprudenza, in apposite linee guida (GPDP, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, 14 giugno 2007, Docweb n. 1417809, par. 3.1) dove si legge che, «in linea di principio, per individuare il titolare del trattamento, occorre far riferimento all’amministrazione o ente centrale o locale nel suo complesso, anziché a singole articolazioni interne o alle persone fisiche che l’amministrano o la rappresentano (ad esempio, il ministro, il direttore generale o il presidente».

Ed inoltre, occorre tenere presente che in relazione all’individuazione del titolare del trattamento dei dati con riguardo all’ambito pubblico, sussiste una continuità tra la normativa previgente ed il GDPR.

Dove l’art. 4, par. 1, n. 7, Reg. UE 679/16, in maniera non dissimile dalla normativa previgente, definisce il titolare del trattamento come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri».

Orbene, analizzando il caso di specie, attraverso l’emanazione del decreto appare evidente che risulta essere il Ministero della giustizia il soggetto che ha provveduto a determinare sia i mezzi con cui effettuare il trattamento, che le finalità del trattamento stesso, avendo espressamente previsto all’art. 2 dello schema di decreto e in particolare al co. 6, che «Il trattamento dei dati personali di cui al presente decreto è effettuato esclusivamente per le finalità correlate alla tenuta dell’elenco».

Pertanto, applicando correttamente quanto previsto dalla suddetta normativa, in ossequio e in continuità con quanto già deciso dalla “giurisprudenza” del GPDP sul tema (Docweb n. 9162562 del 19 settembre 2019), nel parere oggi commentato scrive il Garante che «si ritiene necessario modificare l’articolo 2, comma 6, dello schema indicando quale titolare del trattamento dei dati contenuti nell’elenco il ministero della Giustizia».

Ugualmente per quanto riguarda l’ulteriore inquadramento che il GPDP compie circa la figura del Direttore generale: pur essendo equiparabile alla stregua di un responsabile (interno) del trattamento dei dati personali secondo la normativa precedente alla riforma del 2018, anche per compiti e funzioni gestionali, viene ricondotto alle persone autorizzate di cui all’art. 2 quaterdecies del Codice privacy, come novellato dal d.lgs 101/2018. Ritiene invero il Garante «che il Ministero, in qualità di Titolare del trattamento dei dati possa prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personalismo attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità».

Inquadramento confermato in precedente provvedimento del GPDP (Docweb n. 9162562 del 19 settembre 2019).

2.2. Controlli per la verifica dei requisiti di iscrizione nell’elenco

L’attenzione del Garante si focalizzava sulla previsione esposta in premessa, di cui all’art. 7 dello schema di decreto.

In particolare il GPDP rilevava profili di insuperabile criticità, nell’ obbligo di trasmissione al competente ufficio ministeriale, dell’elenco completo degli iscritti alle associazioni o organizzazioni, ai fini del controllo dei requisiti per il mantenimento dell’iscrizione all’elenco dei soggetti legittimati a presentare un’azione di classe.

Nel caso di specie, secondo il Garante oggetto del trattamento sarebbero «i dati personali di soggetti iscritti ad organismi che operano per la tutela di diritti individuali (…), con finalità associative diverse (ad esempio di carattere ideologico, politico, culturale, sociale, assistenziale, religioso, sindacale, ambientale o di promozione economica)», «il solo dato dell’adesione potrebbe rivelare informazioni sensibili e molto delicate della sfera più intima e personale. Al riguardo si osserva che i dati personali riferiti all’appartenenza ad associazioni private (o altra organizzazione comunque definita) rientrano fra le categorie particolari di dati cui il Regolamento e il Codice riservano le più elevate garanzie nel caso in cui siano idonei a rivelare le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale delle persone (art. 9 Regolamento; art. 2-sexies, Codice)».

Il Garante compie al riguardo un’interessante disamina sulla libertà di associazione costituzionalmente riconosciuta dall’art. 18 Cost. in correlazione con il diritto anch’esso primario alla tutela dei dati personali.

Preliminarmente, la richiesta di invio dell’elenco completo degli iscritti è stata censurata dal GPDP perché è risultata contraria ai principi di «limitazione della finalità» e di «minimizzazione dei dati», di cui all’art. 5, par 1, lett. b) e c) del GDPR.

Nel caso di specie veniva rilevato che la disposizione normativa di riferimento, l’art. 196-ter disp att. c.p.c., comprendesse esclusivamente «la verifica delle finalità programmatiche, dell’adeguatezza a rappresentare e tutelare i diritti omogenei azionati e della stabilità e continuità delle associazioni e delle organizzazioni stesse, nonché la verifica delle fonti di finanziamento utilizzate», escludendo il trattamento dei dati personali da parte del Ministero della Giustizia riferiti agli iscritti alle singole associazioni e organizzazioni di cui al citato elenco, neanche nell’ambito di pertinenti controlli.

La conclusione del Garante riportata nel parere richiesto, disponeva che per tali finalità, doveva considerarsi sproporzionata ogni soluzione che non si limitasse a consentire di disporre di dati aggregati e non identificativi dei singoli iscritti.

Ed inoltre, l’autorità garante valutava un altro aspetto di criticità atto ad influire sulla libertà di associazione stessa costituzionalmente riconosciuta (art. 18 Cost), che assicura a tutti il diritto di associarsi liberamente, senza necessità di alcuna autorizzazione e per fini non vietati dalla legge.

A tal riguardo, sempre con riferimento alla «richiesta di ricevere l’intero elenco degli iscritti», il GPDP affermava che «Un obbligo di comunicazione di dati personali riguardanti l’appartenenza dei cittadini ad associazioni di qualunque genere, come quello in esame, per finalità di controllo in ordine ai requisiti che tali organismi devono possedere (…) appare irragionevole e può costituire potenzialmente anche un limite alla libertà di associazione stessa».

Si profila in questo contesto anche una forma dissuasiva per le persone potenzialmente interessate a partecipare a forme di aggregazione sociale ove sviluppare la propria personalità (art. 3, co. 2, Cost.) per il timore di possibili conseguenze di carattere discriminatorio o di esclusione sociale, che potrebbero derivare dalla comunicazione a soggetti terzi, per finalità di controllo, della propria scelta associativa in un ambito, peraltro, settoriale, qual è quello dell’esercizio della azione di classe.

In conclusione il GPDP, ai sensi dell’art. 57, par. 1, lett. c), del Regolamento, in adempimento ai compiti ad esso attribuiti, tra i quali il fornire attività di consulenza sulle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali, esprimeva un parere favorevole sullo schema di decreto del Ministro della giustizia concernente l’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe”, in attuazione dell’articolo 196-ter delle disposizioni per l’attuazione del codice di procedura civile, tuttavia con le seguenti condizioni:

«a) all’articolo 2, comma 6, dello schema sia specificato che titolare del trattamento dei dati personali è il Ministero della Giustizia (punto 3.1.);

b) apporti l’Amministrazione le modifiche all’articolo 7 prospettate in chiave di garanzia degli interessati escludendo in ogni caso la trasmissione dell’elenco degli iscritti all’associazione o all’organizzazione (punto 3.2.)».

3. Precedenti

In relazione all’individuazione del titolare del trattamento dei dati in ambito pubblico il tema è stato affrontato dal Garante immediatamente dopo l’entrata in vigore della l. n. 675/96, inizialmente con il parere reso a seguito di proposizione del quesito posto dalle F.S. S.p.A. riguarda la concreta individuazione della figura del titolare del trattamento: Docweb. n. 30915 del 9 dicembre 1997, nel quale il Garante ha chiarito che se il trattamento è effettuato nell’ambito di una persona giuridica di una pubblica amministrazione o di un altro organismo, il titolare è l’entità nel suo complesso anziché una o più persone fisiche.

Ugualmente a seguito di invio all’attenzione del Garante da parte del Ministero delle finanze della «Circolare n. 291/S del 13 novembre 1997 recante direttive in materia di protezione dei dati personali. Rif. nota n. 14/97/MAN» circa l’identificazione della figura del “titolare” del trattamento veniva pronunciato il parere: Docweb n. 39785 del 9 dicembre 1997.

Il Garante ha ribadito il concetto e specifica che «Il riferimento alla “persona fisica”, che compare nella definizione del “titolare” (art. 1 legge 675/1996), non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l´ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità di un’attività che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell´ambito e nell´interesse di una persona giuridica, di un´impresa o di un ente nel quale ricoprono incarichi di rilievo».

Orientamento confermato a seguire con il provvedimento Docweb. n. 41794 del 10 giugno 1998, dove il Garante risponde ad alcuni quesiti sulla notificazione posti dal Ministero dei lavori pubblici e ribadisce che la titolarità del trattamento è di regola individuabile nel Ministero nel suo complesso, fatte salve le specifiche posizioni rivestite da particolari strutture centrali o periferiche che esercitino un potere realmente autonomo su determinati trattamenti.

Un’interessante disamina sulla questione relativa alla corretta individuazione del titolare del trattamento in ambito pubblico, nonché sulle designazioni del responsabile del trattamento dei dati e delle persone autorizzate di cui all’art. 2 quaterdecies del Codice privacy, novellato dal d.lgs. 101/2018, è contenuta poi nel Provvedimento del Garante n. 199 del 2 aprile 2015 (Ordinanza di ingiunzione nei confronti di Regione Calabria), Docweb n. 4000525, da cui è scaturita una successiva sentenza della Corte dei Conti n. 429/2019 (in Corr. giur., 2020, 12, p. 1502, con nota di G. d’Ippolito, Corte dei conti n. 429/2019 e la figura del titolare del trattamento in ambito pubblico).

La questione riguardava la condanna, da parte della Corte dei Conti, del Presidente della Regione Calabria per danno erariale, conseguente alla condanna ad una sanzione amministrativa pecuniaria da parte del Garante (Provvedimento n. 199 del 2 aprile 2015 -Ordinanza di ingiunzione nei confronti di Regione Calabria, Docweb n. 4000525), per mancata designazione dei soggetti autorizzati al trattamento dei dati personali all’interno dell’ente pubblico. Al riguardo è stato osservato che «il “granitico” orientamento del Garante, confermato della giurisprudenza di legittimità, volto a considerare titolare l’ente nel suo complesso trova col Regolamento e il nuovo Codice maggiori sbocchi e la legittimazione per gestire anche le organizzazioni più complesse.

In tale contesto, la sentenza della Corte dei conti si pone un passo più avanti e aiuta a chiarire cosa viene dopo. Ossia, ferma l’attribuzione della qualifica di titolare all’ente, aiuta a capire chi sia, in concreto, il soggetto tenuto al rispetto e all’applicazione degli obblighi in materia di protezione dei dati personali. Operazione, questa, che non può che essere rimessa a una valutazione caso per caso dopo un’analisi della struttura dell’ente e della ripartizione dei compiti all’interno del plesso amministrativo.

Nella sentenza in esame, a fronte dell’attribuzione all’ente territoriale della qualifica di titolare valevole per i rapporti esterni, la Corte dei conti ha riconosciuto al suo Presidente, in concreto e con rilevanza interna, la medesima qualifica. Ciò non solo perché rappresentante legale pro tempore dell’ente o a causa della designazione formale di titolare tramite la deliberazione della Giunta regionale, ma anche perché ritenuto l’unico soggetto che concretamente poteva influire sul trattamento di dati personali.

In tal senso, il Presidente sarebbe responsabile perché, tramite la sua condotta negligente, ha determinato in capo alla Regione una perdita patrimoniale derivante dal mancato rispetto della disciplina in materia di protezione dei dati personali» (G. d’Ippolito, op. cit., p. 1502 ss.).

Nello specifico, secondo la Corte, «le violazioni che hanno determinato l’insorgenza dell’obbligo risarcitorio si ricollegano a una serie di comportamenti omissivi, tra cui mostra particolare gravità la mancata individuazione degli “incaricati” al trattamento (…) nel caso in questione è stata addirittura omessa la designazione di eventuali responsabili, che in concreto avrebbe potuto elidere la responsabilità del convenuto» (G. d’Ippolito, op. cit., p. 1502 ss.).

Pertanto al pari di quanto deciso con il parere del Garante oggetto della presente disamina (doc. web n. 9543119 del 14 gennaio 2021), la Corte dei Conti chiarisce che il rappresentante dell’ente può mitigare la sua responsabilità in materia di trattamento dei dati personali, tramite la nomina di altri soggetti diversamente responsabili e quindi tramite una delega di funzioni.

Infine, sovviene riportare un ultimo precedente. Ci si riferisce a GPDP, Provvedimento del 19 settembre 2019, Docweb n. 9162562 («Parere su uno schema di decreto del Presidente del Consiglio dei ministri concernente disposizioni in materia di misure di protezione dei minori stranieri non accompagnati») con il quale risulta confermato che il trattamento dei dati particolari, ai sensi dell’art. 9 Reg. UE 679/2016, in deroga al divieto generale, può essere effettuato tramite la comunicazione a terzi secondo la seguente prescrizione: «la diffusione dei dati può essere effettuata esclusivamente in forma anonima e aggregata, con modalità che non consentano, neanche indirettamente, l’identificazione degli interessati», al pari di quanto deciso con il parere in commento Docweb n. 9543119 del 14 gennaio 2021.

Per il resto confermando l’individuazione del titolare del trattamento nel Ministero competente e riprendendo esplicitamente i precedenti di seguito indicati: parere 9 dicembre 1997, Docweb n. 30915; nota 9 dicembre 1997, Docweb n. 39785.

4. Bibliografia

In materia si vedano: D. Farace, Il titolare e il responsabile del trattamento, in V. Cuffaro-R. D’Orazio-V. Ricciuto, I dati personali nel diritto europeo, Torino, 2019, p. 731-774; L. Greco, L’organigramma privacy: i soggetti del trattamento, in G. Finocchiaro La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, p. 348 ss.; F. Bravo, Sulla figura del responsabile “interno” del trattamento di dati personali, in Dir. inf., 2019, 4-5, pp. 951-978; A. Mantelero, Gli autori del trattamento dati: titolare e responsabile, in Giur. it., 2019, 12, pp. 2799-2805; G. d’Ippolito, Corte dei conti n. 429/2019 e la figura del titolare del trattamento in ambito pubblico, in Corr. giur., 2020, 12, p. 1502 ss.