Rinnovo automatico dell’iscrizione ad un’associazione e privacy

Allegati

Il rinnovo automatico dell’iscrizione ad un’associazione viola la privacy se avvenuta dopo la richiesta di cancellazione dei dati da parte dell’associato.

Volume consigliato: Formulario commentato della privacy

Garante per la protezione dei dati personali – Provvedimento n. 365 del 31/08/2023

GarantePrivacy-provv.-365-9936247-1.0.pdf 42 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti

Un signore lamentava al Garante per la protezione dei dati personali di aver subito una violazione della propria privacy da parte di una associazione cui era stato iscritto nel corso del 2021. In particolare, riferiva di aver chiesto, in data 28 ottobre 2021, alla predetta associazione la cancellazione dei propri dati personali trattati dalla medesima e di aver ricevuto conferma dell’avvenuta eliminazione di detti dati da parte della associazione con comunicazione email del 13 gennaio 2022. Tuttavia, aggiungeva il reclamante, nell’agosto del 2022, egli riceveva una comunicazione email dall’associazione con cui veniva informato della scadenza della sua iscrizione all’associazione e sul rinnovo automatico della stessa.
Il Garante, preso atto del reclamo, contattava la associazione, invitandola a fornire chiarimenti sui fatti di cui sopra e quest’ultima riferiva che il signore era stato cancellato dal libro soci dell’associazione in data 25 febbraio e allegava una foto a conferma dell’avvenuta cancellazione.
Pertanto, il Garante avviava il procedimento sanzionatorio, invitando la associazione a depositare propri scritti difensivi.
L’associazione si difendeva, in primo luogo, evidenziando che la stessa si era costituita nel giugno del 2021 e che già nell’ottobre 2021 il reclamante aveva richiesta la cancellazione dei propri dati personali, cui aveva effettivamente fatto seguito una conferma di avvenuta cancellazione da parte dell’associazione medesima. In secondo luogo, l’associazione evidenziava che la stessa opera attraverso il supporto di personale volontario per tutti gli adempimenti a cui la stessa deve provvedere (fra cui la gestione delle banche dati e delle richieste di esercizio dei diritti a norma degli Artt. 12-22 del Regolamento Ue 2016/679) e che il volontario incaricato, a fronte della richiesta di cancellazione ricevuta dal reclamante ad ottobre 2021, doveva procedere alla cancellazione dei suoi dati dagli archivi dell’Associazione, ma che per un suo errore tale cancellazione non era avvenuta. Pertanto, posto che alla fine del 2021 l’associazione aveva deciso di rinnovare gratuitamente per un anno l’iscrizione a tutti gli associati, non vi era stato alcun controllo sulla effettiva cancellazione dei dati del reclamante e allorquando, nell’agosto 2022, l’associazione aveva contattato tutti gli associati per ricordargli la prossimità della scadenza dell’iscrizione relativamente all’anno 2022, la comunicazione è stata erroneamente inviata anche al reclamante.
Inoltre, l’associazione aggiungeva che, se il reclamante si fosse immediatamente rivolto nuovamente all’associazione chiedendo la rimozione dei dati, invece che depositare il reclamo al Garante privacy nel dicembre 2022, l’associazione si sarebbe accorta dell’errore e i dati sarebbero stati immediatamente cancellati.
In conclusione, veniva fatto presente al Garante che l’Associazione ha migliorato le proprie procedure interne di rispetto dalla normativa in materia di protezione dei dati personali e ha rivisto l’organizzazione e la gestione dei dati degli Associati attraverso l’adozione di procedure dedicate.

Potrebbero interessarti:

2. Rinnovo automatico e privacy: la valutazione del Garante

Nel caso di specie, il Garante ha accertato l’Associazione, nonostante avesse dichiarato all’interessato, in risposta alla sua specifica richiesta, di aver provveduto alla cancellazione dei suoi dati personali, ha comunque continuato a trattare i dati del medesimo. Infatti, l’invio della e-mail dell’ agosto 2022 (con la quale si comunicava il rinnovo automatico della sua iscrizione all’associazione) configura un trattamento dei dati personali dell’interessato. Ciò significa che l’associazione non ha effettivamente cancellato i dati personali dell’interessato ed ha quindi violato il diritto di cancellazione previsto dal Regolamento europeo per la protezione dei dati personali (GDPR), che era stato esercitato dall’interessato medesimo.
Inoltre, è stato altresì accertato che la cancellazione di detti dati è avvenuta successivamente alla richiesta formulata dall’interessato (ben oltre il termine di 30 giorni previsto dalla legge): in particolare, a seguito dell’intervento del Garante.
Nonostante, quindi, la violazione della normativa privacy sia pacifica, il Garante ha ritenuto che, nel corso del procedimento sanzionatorio, l’Associazione ha illustrato nel dettaglio le circostanze dell’”errore materiale” che ha determinato il ritardo nel riscontro all’interessato e le scelte volte a migliorare la procedura interna per la gestione delle istanze relative all’esercizio dei diritti in materia di protezione dei dati personali.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante, nella decisione del caso concreto, ha ritenuto che le suddette circostanze relative alle azioni intraprese dal titolare del trattamento per garantire la compliance privacy nonché la collaborazione con l’Autorità nel corso del procedimento e l’assenza di precedenti violazioni per la medesima fattispecie a carico dell’Associazione inducono a qualificare il caso come “violazione minore”.
Conseguentemente, il Garante ha ritenuto sufficiente ammonire il titolare del trattamento con specifico riferimento alla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dall’art. 12 del Regolamento, agevolandone l’esercizio, se del caso, anche attraverso un costante monitoraggio delle misure già adottate.

Volume consigliato

L’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento