[doc. web n. 9892716]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 130 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA l’istanza del 2 giugno 2021 recante al contempo l’atto di reclamo, presentato ai sensi dell’art. 77 del Regolamento, dai Sigg. XX, XX, XX, XX, XX, XX, XX, XX, XX, XX e XX, nonché la segnalazione della Federazione Italiana dei Piloti dei Porti avanzata, al pari del suddetto reclamo, nei confronti di Unione Piloti;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con atto di reclamo del 2 giugno 2021, i Sigg. XX, XX, XX, XX, XX, XX, XX, XX, XX, XX e XX (nella fattispecie il Sig. XX, “in proprio e quale Sindaco di Fedepiloti”, il Sig. XX, “in proprio e nella qualità di Direttore di Fedepiloti” e tutti gli altri reclamanti “in proprio e nella qualità di Consiglieri di Fedepiloti”), rappresentati dall’Avv. XX (giusta procura in calce al medesimo), hanno lamentato presunte violazioni del Regolamento, da parte di Unione Piloti (di seguito “U.P.”), in ordine al trattamento dei dati personali che li riguardano.

Con il medesimo atto sono state segnalate, dalla Federazione Italiana dei Piloti dei Porti (di seguito “Fedepiloti”) in persona del Suo legale rappresentate pro tempore, il Presidente, Sig. XX, analoghe presunte violazioni da parte della menzionata Associazione in ordine al trattamento dei dati personali relativi agli iscritti alla predetta Federazione (segnatamente quelli concernenti i piloti XX, XX, XX, X, XX, XX, XX, XX, XX, FXX, XX, XX, XX, XX, XX,XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX e XX).

In particolare, è stato rappresentato che U.P. ha trasmesso “ripetutamente (…) dall’indirizzo mail info@unipiloti.it” comunicazioni ai sopra citati reclamanti e agli aderenti a Fedepiloti “presso gli indirizzi di posta elettronica personale” degli stessi e che i contatti in questione sono stati riportati “in chiaro e come tal[i] visibil[i] a tutti gli altri destinatari” delle predette comunicazioni.

Nel medesimo atto è stato fatto presente che “gli iscritti a Fedepiloti e i ricorrenti in proprio nel cui interesse è rivolta la presente azione”, intestatari di tali indirizzi di posta elettronica, non risultano essere “iscritti all’U.P.” e comunque non avrebbero “prestato alcun consenso per il trattamento dei propri dati personali” da parte di quest’ultima (v. istanza del 2 giugno 2021, pag. 2 e relativi allegati nn. 1-5 recanti le ultime comunicazioni, oggetto di contestazione, pervenute in ordine cronologico nel periodo ricompreso tra agosto 2020 e maggio 2021).

Nel corso dell’attività istruttoria, avviata dal Garante con nota trasmessa il 16 agosto 2021, l’Ufficio ha pertanto chiesto alla predetta Associazione di fornire informazioni sui fatti oggetto di contestazione, al fine di acquisire utili elementi di valutazione rispetto a quanto sollevato dagli istanti nell’atto in esame. Ciò con particolare riferimento ad alcuni specifici profili del trattamento, effettuato da U.P. nel caso di specie, concernenti le finalità e i presupposti di liceità dello stesso, l’origine dei dati di contatto degli interessati utilizzati ai fini dell’invio delle comunicazioni in esame, nonché gli ulteriori adempimenti posti in essere dall’Associazione in tale contesto.

Sul punto, U.P. si è limitata a dichiarare che le comunicazioni oggetto di contestazione contenevano “indirizzi e-mail di piloti che svolgono attività di pilotaggio nei porti e che non hanno mai richiesto la cancellazione dei loro dati all’Unione Piloti”. La stessa ha, inoltre, fatto genericamente presente “che l’Unione Piloti necessita per fini istituzionali di contattare i piloti delle Corporazioni Piloti dei Porti di Italia in quanto la stessa partecipa, altresì, all’istruttoria ministeriale finalizzata alla formazione dei meccanismi di formazione delle tariffe dei servizi di pilotaggio, tenuto conto che l’art. 14 comma 1 bis della legge 84/94 e s.m.i.”, da cui ne consegue che “Unione Piloti è tenuta a tutelare le tariffe per i servizi di pilotaggio nell’interesse di tutti i piloti, anche di coloro che non sono associati e, conseguentemente, a contattarli se necessario” (cfr. nota del 15 ottobre 2021, pagg. 3 e 4).

In ragione del parziale riscontro fornito da U.P. alla sopra citata comunicazione, il 31 gennaio 2022 e il 14 ottobre 2022, l’Ufficio ha formulato due ulteriori richieste di integrazioni (anche di carattere documentale), a cui il titolare del trattamento ha reso riscontro con le note rispettivamente del 15 febbraio 2022 e del 29 ottobre 2022, fornendo al contempo copia dell’Atto costitutivo e dello Statuto di U.P., nonché del “modello informativa Privacy Unione Piloti D.lgs. 196/2003 adottato in data precedente al Reg. 679/2016”.

A fronte di tali comunicazioni è stato constatato quanto di seguito riportato:

- in merito al rinnovo da parte dell’Ufficio della richiesta di fornire elementi in ordine ai profili del trattamento già indicati con la nota trasmessa il 16 agosto 2021 (v. supra), U.P. ha ribadito quanto rappresentato, con nota del 15 ottobre 2021, non adducendo ulteriori elementi integrativi al riguardo (cfr. nota del 15 febbraio 2022, pagg. 4-5 che reca le medesime dichiarazioni rese a suo tempo all’Autorità da U.P. come sopra testualmente riportate);

- per quanto concerne la richiesta volta a conoscere la posizione (o meno) di ex aderenti ad U.P., eventualmente rivestita dagli interessati destinatari delle citate comunicazioni, sollevata dall’Ufficio in ragione di quanto sopra dichiarato in ordine alla circostanza che gli indirizzi e-mail in questione concernono “piloti che svolgono attività di pilotaggio nei porti e che non hanno mai richiesto la cancellazione dei loro dati all’Unione Piloti” (v. supra), U.P. ha dichiarato che “tra i Piloti contattati” coloro che “hanno aderito in passato all’Unione Piloti […] e non hanno mai richiesto la cancellazione dei propri dati” sono il Sig. XXe e la Sig.ra XX. Al riguardo, U.P. ha evidenziato che quest’ultimi sono “consapevoli che il proprio indirizzo e-mail è conservato dall’Unione Piloti avendo a suo tempo autorizzato la medesima a trattenere il predetto dato” (cfr. nota del 15 febbraio 2022, pagg. 3-4 e nota del 29 ottobre 2022, pag. 4).

Da ultimo, si fa presente che, con nota del 17 luglio 2022, gli istanti hanno trasmesso copia, su indicazione di questa Autorità (v. nota del 21 giugno 2022), dell’Atto costitutivo e delle Statuto di Fedepiloti, puntualizzando altresì al contempo che “Fedepiloti non è a conoscenza (…) di quali siano i suoi iscritti che in precedenza abbiano fatto parte dell’associazione di categoria Unione Piloti” non essendo richiesto tale dato al momento dell’iscrizione degli aderenti “come è agevolmente ricavabile dal modulo [allegato anch’esso alla predetta comunicazione] che il pilota deve sottoscrivere all’atto della sua iscrizione a Fedepiloti” (cfr. nota del 17 luglio 2022, pagg. 1 e 2 e relativi allegati, tra cui l’allegato 3 recante “Modulo iscrizione a Fedepiloti”).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi.

Il 15 novembre 2022, l’Ufficio ha notificato, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate con riferimento all’art. 5, par. 1, lettere a) e f), nonché in ordine all’art. 6, par. 1, lett. a) dello stesso.

Con la comunicazione del 15 dicembre 2022 e la successiva nota integrativa dell’8 marzo 2023, U.P. ha inviato i propri scritti difensivi nei quali non ha fornito alcuna deduzione scritta e/o documento ulteriori rispetto a quanto sostenuto, come sopra riportato, nelle note del 15 ottobre 2021, del 15 febbraio 2022 e del 29 ottobre 2022.

La stessa Associazione si è invero limitata a rappresentare che:

“è falsa la circostanza che il reclamo (…) fosse già stato trasmesso p.c. all’Unione Piloti dall’Avv. XX” e che in ragione di ciò “non è mai pervenuta alcuna comunicazione e/o reclamo da parte di piloti ed associati della FEDERAZIONE ITALIANA DEI PILOTI DEI PORTI (…) prima della comunicazione del Garante per la Protezione dei dati personali del 16 agosto 2021”; pertanto U.P. ha “appreso del contenuto del reclamo solo a seguito della comunicazione del Garante (…) Prot. 42415 del 16.08.2019” (v. nota del 15 dicembre 2022, pagg. 1-2 e nota dell’8 marzo 2023, pagg. 1-2);

“solamente alcuni nominativi degli associati della Fedepiloti hanno conferito mandato all’Avv. XX di procedere con la (…) segnalazione, a differenza di quanto dallo stesso dichiarato” e che tutti i piloti dalla stessa contattati, ossia “in particolare i piloti XXe, XX, XX, XX, X e XX (…), hanno negato di aver mai conferito alcun mandato né all’Avv. XX, né alla Fedepiloti per il reclamo ex art. 77 del Regolamento (UE) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali promosso dalla Fedepiloti nei confronti dell’U.P.” (v. nota del 15 dicembre 2022, pagg. 2-3 e nota dell’8 marzo 2023, pagg. 2-4);

“lo stesso Avv. XX con e-mail del 29.11.2022” ha altresì comunicato che “la Sig.ra XX, indicata tra gli iscritti il cui indirizzo mail è stato indebitamente utilizzato e diffuso da U.P., ha manifestato il proprio dissenso all'iniziativa assunta da Fedepiloti dinanzi al GPDP, e di tanto se ne dovrà tener conto ai fini della decisione” (cfr. nota dell’8 marzo 2023, pag. 3).

3. Osservazioni sulla normativa in materia di protezione dei dati personali e violazioni accertate.

In via preliminare, stante quanto sollevato da U.P. in sede di memorie difensive, merita formulare alcune precisazioni in ordine alla natura giuridica dell’atto del 2 giugno 2021 indicato in premessa, da cui è originato il procedimento; tutto ciò alla luce dei poteri e dei compiti attribuiti al Garante dalla normativa vigente (Regolamento e Codice e Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, di seguito “reg. int. n. 1/2019”).

Nell’evidenziare innanzitutto che non rileva, ai fini della presente decisione, la circostanza che l’atto di cui sopra sia pervenuto a suo tempo ad U.P. per il solo tramite dell’Autorità −essendo invero quest’ultima, come di seguito esplicitato, il soggetto deputato a riceverlo e a valutare l’avvio dell’istruttoria preliminare−, si fa presente, in primo luogo, che in base alla predetta normativa, è previsto che chiunque possa rivolgersi al Garante, tramite una segnalazione (v. art. 19 del reg. int. n. 1/2019) o mediante la presentazione un reclamo (v. art. 8 del reg. int. n. 1/2019), al fine di chiedere un controllo sulla liceità di un trattamento di dati personali.

Mentre l’atto di reclamo, disciplinato dall'articolo 77 del Regolamento (UE) 2016/679 e dagli articoli da 140-bis a 143 del Codice, consente all'interessato di rappresentare all'Autorità specifiche violazioni della disciplina rilevante in materia di protezione dei dati personali, rispetto alle informazioni che lo riguardano (cfr. art. 8, comma 1 del reg. int. n. 1/0129), la segnalazione, di cui all’articolo 144 del Codice, è invece un atto volto “a sollecitare un controllo da parte del Garante sulla disciplina rilevante in materia di trattamento dei dati personali” (art. 19, comma 1 del reg. int. n. 1/2019), indipendentemente dal coinvolgimento dell’interessato nel trattamento.

Da un punto di vista meramente formale, il reclamo può essere sottoscritto direttamente dall'interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un'organizzazione o un'associazione senza scopo di lucro cui sia stata conferita procura in tal senso (art 142 del Codice).

Viceversa, ai fini della presentazione di una segnalazione all’Autorità, non sono previsti particolari vincoli di forma. Il segnalante (che può essere anche un soggetto non identificato e non necessariamente l’interessato) può limitarsi a fornire tutti gli elementi in suo possesso in ordine ad una o più violazioni rilevanti che si presume siano state poste in essere con riguardo ad un trattamento di dati personali e “che il Garante può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'articolo 58 del Regolamento” (art. 144 del Codice).

Merita evidenziare, da ultimo, che i provvedimenti di cui all'articolo 58 del Regolamento possono essere adottati dall’Autorità anche d'ufficio.

Ciò risulta peraltro confermato anche dalla giurisprudenza che, seppure con riferimento al quadro giuridico anteriore a quello attuale (ma sostanzialmente sovrapponibile), ha evidenziato “la chiara previsione del potere ufficioso del Garante per la protezione dei dati personali, sicché la tesi […] secondo la quale per attivare il potere di accertamento e il conseguente potere sanzionatorio fosse necessario un reclamo o una segnalazione dell'interessato e che, in presenza di una segnalazione di un terzo, fosse precluso al Garante di esercitare i suoi poteri di ufficio è del tutto destituita di fondamento” (Cass. Civile Sez. 2, Ordinanza del 17 dicembre 2021, n. 40635).

Muovendo dal quadro normativo sopra delineato, l’istanza presentata nel caso in esame nei confronti di U.P., come già rilevato nell’atto di notifica resa ex art. 166, comma 5, del Codice del 15 novembre 2022, è stata dunque valutata da questo Ufficio quale atto di reclamo, ai sensi dell’art. 77 del Regolamento, in ordine a quanto rappresentato dall’Avv. XX, sulla base della procura (cfr. allegato n. 6 dell’istanza del 2 giugno 2021 recante la “Procura alle liti”) all’uopo rilasciata dai Sigg. XX, XX, XX, XX, XX, XX, XX, XX, XX, XXi e XX, in merito ai trattamenti dei dati che li riguardano (nella fattispecie quelli relativi agli indirizzi e-mail degli stessi); nonché quale segnalazione, rispetto a quanto avanzato, nel medesimo atto da Fedepiloti, in persona del Suo legale rappresentate pro tempore, il Presidente Sig. XX (sempre per il tramite dell’Avv. XX, cfr. allegato n. 6 cit.), sul trattamento avente ad oggetto i dati relativi ad alcuni iscritti a Fedepiloti, destinatari anch’essi delle comunicazioni oggetto di contestazione.

Fermo restando quanto chiarito in ordine alla natura dell’atto in esame, con specifico riferimento alla normativa in materia di protezione dei dati personali e alle violazioni accertate da codesto Ufficio nell’ambito del procedimento, si rappresenta in primis che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’attività istruttoria e dell’esame della documentazione acquisita nel corso della stessa, è stato accertato, sulla base degli elementi in atti (v. supra, paragrafi 1 e 2), nonché delle successive valutazioni svolte da questo Dipartimento in merito, che codesta Associazione ha posto in essere un illecito trattamento dei dati personali dei reclamanti e di quelli relativi ai sopra citati iscritti a Fedepiloti.

Tutto ciò in quanto il suddetto trattamento, come di seguito più diffusamente esplicitato, è stato posto in essere in contrasto con i principi generali di liceità di cui all’art. 5, par. 1, lettere a) e f) del Regolamento, nonché all’art. 6, par. 1, lett. a) del Regolamento.

Al riguardo, si rammenta in primo luogo che l’indirizzo e-mail di una persona fisica, anche ove non riporti per esteso il nome dell’interessato, costituisce un “dato personale” ai sensi della normativa di riferimento (art. 4, n. 1 del Regolamento; v. anche WP 136- “Parere 4/2007 sul concetto di dato personale” del Gruppo ex art. 29 del 20 giugno 2007, nonché Provvedimenti del Garante del 25 giugno 2002, doc. web n. 29864, del 31 luglio 2002, doc. web n. 1065798, del 24 giugno 2003, doc. web n. 1132562, e da ultimo Provvedimento del Garante del 4 luglio 2013, doc. web n. 2542348; cfr. inoltre Cass. Civile Sez. 2, Ordinanza del 5 luglio 2018, n. 17665).

Ai sensi dell’art. 4, n. 1 del Regolamento, costituisce, infatti, “dato personale” “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, ove “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Si fa altresì presente che il trattamento di dati personali posto in essere da un titolare deve essere effettuato in conformità con il Capo II del Regolamento, che impone il rispetto, tra l’altro, dei principi previsti all’art. 5, par. 1, del Regolamento e dei presupposti di liceità di cui all’art. 6, par. 1 del Regolamento.Il predetto art. 5, par. 1, in particolare, dispone che i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (c.d. principio di liceità, correttezza e trasparenza, cfr. lett. a), nonché “in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (c.d. principio di integrità e riservatezza, cfr. lett. f).

La disposizione di cui al citato art. 6, par. 1, stabilisce, inoltre, che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle condizioni di liceità ivi indicate (cfr. anche Cons. 40 del Regolamento), tra cui il consenso manifestato dall’interessato rispetto ad una o più specifiche finalità (art. 6, par. 1, lett. a) e art. 7 del Regolamento) o il c.d. “legittimo interesse” del titolare del trattamento o di un terzo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali (art. 6, par. 1, lett. f) del Regolamento).

Tanto chiarito in ordine alla natura personale del dato consistente in un indirizzo e-mail e ai principi generali che trovano applicazione qualora lo stesso sia oggetto di un trattamento, si rappresenta che la condotta illecita, nel caso di specie, è riferita alla raccolta (e al successivo trattamento) dei dati di contatto dei reclamanti e di quelli relativi agli ulteriori soggetti indicati in premessa, quali piloti aderenti a Fedepiloti, nonché alla comunicazione di tali dati a terzi, da parte di U.P., in ragione dell’utilizzo “cumulativo” e “in chiaro”, mediante l’invio delle comunicazioni oggetto di contestazione, dei rispettivi indirizzi di posta elettronica ivi riportati.

In particolare, le contestazioni formulate dagli istanti appaiono evidenziare l’avvenuto recapito, a una pluralità di iscritti a Fedepiloti e ad ulteriori soggetti che rivestono, in seno a quest’ultima, incarichi di diversa natura, di messaggi di vario tenore, per lo più di carattere informativo in ordine ad iniziative assunte dalla stessa nell’ambito dello svolgimento della propria attività sindacale.

Tali messaggi −che sulla base della documentazione in atti risulterebbero aver coinvolto un cospicuo numero (circa 150) di soggetti terzi, considerati i molteplici destinatari contenuti nelle mailing list − sarebbero stati inoltrati da U.P. agli istanti tramite e-mail, quantomeno, tenuto delle evidenze documentali prodotte al riguardo da quest’ultimi, nel numero di cinque diverse comunicazioni in un periodo ricompreso tra il 20 agosto 2020 e il 18 maggio 2021.

Sul punto merita rilevare che all’esito dell’attività istruttoria condotta dall’Ufficio, non è stato possibile rinvenire quali siano i presupposti di legittimità e le finalità della predetta attività di trattamento, né come siano stati reperiti da U.P i recapiti dei reclamanti e degli iscritti alla Federazione.

Il titolare del trattamento non ha infatti fornito adeguato riscontro alle richieste avanzate in tal senso, a più riprese, dall’Ufficio con le note del 16 agosto 2021, del 31 gennaio 2022 e del 14 ottobre 2022 concernenti tali specifici aspetti, né ha presentato alcuna deduzione scritta e/o documentale sul punto in sede di memorie difensive, come previsto dall’art. 13 del reg. int. n. 1/2019.

Al riguardo, si sottolinea che il titolare deve “essere in grado di dimostrare la conformità delle attività del trattamento con il […] regolamento, compresa l’efficacia delle misure” dal medesimo adottate (Cons. 74 del Regolamento). Lo stesso, invero, in base a quanto stabilito dall’art. 5, par. 2 del Regolamento, non solo è tenuto a rispettare i principi di protezione dati, ma è anche a darne dimostrazione all’Autorità, in caso di controllo (c.d. principio di responsabilizzazione).

Pertanto, in considerazione del fatto che, in difetto dei suddetti elementi, la trasmissione delle comunicazioni oggetto di contestazione agli indirizzi e-mail dei sopra citati destinatari risulta aver avuto luogo in assenza del previo consenso di quest’ultimi all’utilizzo di tali dati (o comunque in mancanza di altra idonea base giuridica prevista dall’art. 6, par. 1 del Regolamento), il trattamento da parte di U.P. deve considerarsi illecito in quanto posto in essere in violazione dell’art. 5, lett. a) e dell’art. 6, par. 1, lett. a) del Regolamento.

Muovendo dal quadro normativo sopra richiamato, non risulta inoltre conforme ai princìpi e alle disposizioni ivi riportate la modalità di recapito, prescelta da codesta Associazione, dei messaggi di posta elettronica oggetto di contestazione.

Merita evidenziare che la trasmissione degli stessi non ha avuto luogo in forma individualizzata −misura quest’ultima volta a prevenire, come già stabilito dal Garante in precedenti pronunce, una indebita comunicazione di dati personali a soggetti diversi dal singolo destinatario (v., in tal senso, Provvedimento del Garante del 30 novembre 2005, doc. web n. 1213644 e Provvedimento del 26 novembre 2006, doc web n. 1364099; Provvedimento del 18 maggio 2006, doc. web n. 1297626)−, bensì mediante un unico invio rivolto a un numero plurimo e indifferenziato di interessati i cui dati personali (nella fattispecie, gli indirizzi e-mail) risultano visibili in chiaro.

Il configurarsi della suddetta circostanza ha comportato di fatto, e in assenza di qualsivoglia presupposto normativo, la reciproca comunicazione degli indirizzi di posta elettronica di tutti i destinatari coinvolti nelle e-mail oggetto di contestazione, tra i quali sono ricompresi gli istanti.
Pertanto, tenuto conto che tale comunicazione di dati personali a terzi è stata posta in essere in difetto del consenso di quest’ultimi (o comunque in mancanza di altro idoneo presupposto di liceità) e che non sono stati adottati ad opera del titolare opportuni accorgimenti atti a impedire la conoscibilità dei dati da parte dei vari destinatari dei messaggi (ad esempio, in caso di invii a molteplici destinatari della medesima comunicazione via e-mail, utilizzando la funzione c.d. copia conoscenza nascosta; v., in tal senso, Provvedimento del 4 luglio 2013, doc. web n. 2542348 sopra citato e Provvedimento del 9 gennaio 2020, doc. web n. 9261234) la condotta tenuta dall’Associazione è stata posta in essere in violazione dell’art. 6, par. 1, lett. a) del Regolamento e in contrasto con i sopra richiamati principi di liceità e di integrità e riservatezza di cui all’art. 5, par. 1, lettere a) ed f) del Regolamento.

Da ultimo, in considerazione di quanto appena evidenziato, si rappresenta che non può rilevare, nel caso di specie, la circostanza sopra rilevata concernente la pregressa adesione del Sig. XX e della Sig.ra XX all’U.P., così come il fatto che gli stessi non abbiano “mai richiesto la cancellazione dei propri dati” e che la Sig.ra XX abbia manifestato, nel corso del procedimento, il proprio dissenso rispetto all’iniziativa assunta da Fedepiloti (v. supra, paragrafi 1 e 2).

Sebbene, infatti, il trattamento dei dati relativi ai suddetti piloti da parte di U.P. potrebbe trovare il proprio fondamento, a fronte di tale asserita circostanza, nel c.d. legittimo interesse dell’Associazione a continuare ad effettuare −nell’ambito delle proprie legittime attività e con adeguate garanzie e a condizione che i dati non siano diffusi o comunicati all’esterno− operazioni di trattamento che abbiano ad oggetto anche i dati degli ex membri della stessa (v. in tal senso art. 6, par. 1, lett. f) del Regolamento e, con riferimento alle categorie particolari di dati, l’art. 9, par. 2, lett. d) del Regolamento; cfr., altresì in merito, Relazione illustrativa che accompagna lo schema di decreto legislativo n. 101/2018, p. 3), la condotta tenuta da U.P., oggetto di segnalazione da parte di Fedepiloti, è comunque illecita, in ragione del fatto che la comunicazione dei dati personali relativi al Sig. XX e alla Sig.ra XX non ha avuto luogo, come sopra diffusamente esplicitato, all’interno della compagine associativa, bensì di fatto anche “all’esterno” della stessa ed in mancanza del loro consenso (o comunque di altro idoneo presupposto di liceità del trattamento).

Alla luce di quanto complessivamente rappresentato, ne consegue la violazione da parte di U.P. dell’art. 5, par. 1, lettere a) e f) del Regolamento, nonché dell’art. 6, par. 1, lett. a) del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del reg. int. n. 1/2019.

Il trattamento dei dati personali effettuato dalla U.P. risulta quindi illecito, nei termini sopra indicati, in relazione all’art. 5, par. 1, lettere a) e f) del Regolamento, nonché dell’art. 6, par. 1, lett. a) del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento come previsto altresì dall’art. 166, comma 2 del Codice.

5. Adozione dell'ordinanza ingiunzione (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento e le disposizioni relative ai presupposti di legittimità, nonché la gravità della stessa visto il numero dei soggetti interessati e dei destinatari terzi coinvolti nelle comunicazioni oggetto di contestazione e la sua reiterazione considerato che la condotta si è ripetuta nel tempo (art. 83, par. 2, lett. a) del Regolamento);

con riferimento al carattere doloso o colposo della violazione la condotta dell’Associazione è stata considerata di natura colposa (art. 83, par. 2, lett. b) del Regolamento);

il fatto che non risultano precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

la circostanza che i dati personali interessati dalla violazione (art. 83, par. 2, lett. g) del Regolamento), non rientrino nella categoria dei dati particolari di cui all’art. 9 del Regolamento.

Si ritiene, inoltre, che assuma rilevanza, nel caso di specie, in considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, il fatto che il contravventore sia un ente associativo che non persegue finalità di lucro.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4000 (quattromila) per la violazione dell’art. 5, par. 1, lettere a) e f) del Regolamento, nonché all’art. 6, par. 1, lett. a) del Regolamento.

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e i presupposti di legittimità del trattamento che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del reg. int. n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del reg. int. n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) rileva, ai sensi degli artt. 57, par. 1, lettere a) ed f) e 83, del Regolamento, l’illiceità del trattamento effettuato dalla Unione Piloti, con sede in Venezia, Santa Croce 468/B, C.F.: 94073980271, nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lettere a) e f) del Regolamento, nonché dell’art. 6, par. 1, lett. a) del Regolamento;

b) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Unione Piloti, di pagare la somma di euro 4000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

quindi a Unione Piloti di pagare la predetta somma di euro 4000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei