La decisione del Garante è stata emessa a seguito di una segnalazione proposta dall’Associazione Movimento 5 Stelle che aveva inutilmente richiesto all’Associazione Rousseau, responsabile del trattamento dati dei propri iscritti, il trasferimento dei dati degli iscritti. Tale segnalazione seguiva ad una richiesta con la quale la persona fisica responsabile della protezione e del trattamento dati di entrambe le associazioni, lamentava di avere ricevuto richieste di trasferimento di detti dati da due diverse persone fisiche che rivendicavano la loro legittimazione in tal senso.

Il problema si poneva quindi, oltre che sul piano politico, anche sulla filiera del trattamento: il Movimento incolpava la Piattaforma di non aver trasmesso i dati su sua richiesta, in quanto effettivo Titolare, ed integrando una violazione dell’art. 38 n. 3 lett. G del GDPR. Tra le altre cose era criticato anche l'aver continuato a trattare questi dati, nonostante la diffida ricevuta, inviando mail massive agli iscritti. Veniva richiesta anche la restituzione dei siti web di riferimento. I titolari della piattaforma, nominata responsabili nel 2016 da Grillo, contestavano la legittimazione di Vito Crimi a presentare la richiesta e rivendicavano la propria legittimazione a richiedere agli eletti i contributi per il proprio funzionamento. 

Il Garante, dopo avere chiarito che Titolare del Trattamento è il Movimento mentre l’associazione Rousseau è Responsabile ancorché, come dalla stessa dichiarato, in parte autonomo titolare, ha posto in evidenza come l’articolo 38 del Regolamento imponga al Responsabile di cancellare o restituire i dati “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti “salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati" e ciò anche laddove non previsto nell’atto che disciplina il rapporto tra i soggetti o, come nella fattispecie, la nomina a Responsabile sia avvenuta prima della definitiva entrata in vigore del GDPR.

Non passava inosservato al Garante che i dati erano stati forniti dagli interessati in forza dell’informativa messa a disposizione dal Movimento e che possono essere usati solo per i fini da quest’ultimo perseguiti. Illegittima, pertanto, la risposta della Piattaforma a cui, di conseguenza, il Garante, ai sensi dei suoi poteri correttivi di cui all’art. 58 GDPR, ha ingiunto di mettere a disposizione del Titolare, il Movimento, nelle forme da questo indicate, tutti i dati personali degli iscritti al Movimento di cui l’Associazione risultasse responsabile: tutto ciò entro 5 dalla ricezione del provvedimento facendo salvo ogni ulteriore trattamento per gli iscritti di cui Rousseau fosse al contempo autonomo titolare del trattamento. È stata comunque inibita ogni altra forma di trattamento.

Ovviamente la Piattaforma può opporsi ma la lettera degli atti è chiara e, molto verosimilmente, la Casaleggio e Associati, o chi per essa, non avrà più a disposizione l’elenco degli iscritti al Movimento e, confidiamo, anche i dati di chi aveva navigato sui siti utilizzat.

Prescindendo dal merito della vicenda è evidente come il controllo dei dati di iscritti, simpatizzanti, o anche curiosi, coinvolti in un movimento, sia un’attività sensibile e, come fatto notare a più riprese, oggi chi controlla i dati delle persone ha un potere enorme. Resta ora da stabilire se, e in che misura, la Piattaforma potrà continuare ad usare i dati in suo possesso quale titolare. Emerge quindi una gestione non certo perfetta nella filiera del trattamento nel Movimento.