Nel maggio 2019, diversi media hanno rivelato che la società MONSANTO deteneva un file contenente i dati personali di oltre 200 personaggi politici, o appartenenti alla società civile (ad esempio giornalisti, ambientalisti, scienziati o persino agricoltori) influenzano il dibattito o l’opinione pubblica su il rinnovo dell’autorizzazione del glifosato in Europa. Allo stesso tempo, la CNIL ha ricevuto sette denunce, in particolare da persone interessate da questo fascicolo.

Dalle verifiche effettuate dalla CNIL è emerso che tale censimento era stato effettuato per conto della società MONSANTO da diverse società specializzate in pubbliche relazioni e lobbying, nell’ambito di una grande campagna di rappresentanza degli interessi.

Il fascicolo in questione conteneva, per ciascuna di queste persone, informazioni quali l’ente capogruppo, la posizione ricoperta, l’indirizzo professionale, il numero di telefono fisso professionale, il numero di cellulare, l’indirizzo di posta elettronica professionale e, in alcuni casi, l’account Twitter. Inoltre, a ciascuna persona è stato assegnato un punteggio compreso tra 1 e 5, al fine di valutarne l’influenza, la credibilità e il sostegno alla società MONSANTO su vari argomenti come pesticidi o organismi geneticamente modificati.

Al termine dell’istruttoria e sentita la società MONSANTO, il gruppo ristretto (organo della Cnil competente in materia di sanzioni) ha pronunciato una sanzione di 400.000 euro e ha deciso di rendere pubblica la sua decisione. Ha ritenuto che la società avesse violato le norme non informando le persone interessate della registrazione dei loro dati in questo file. Inoltre, la CNIL ha sanzionato il fatto che la società non avesse posto in essere le garanzie contrattuali che dovrebbero normalmente disciplinare i rapporti con un subappaltatore, ha sottolineato che l’obbligo di informare le persone è una misura centrale all’interno del GDPR in quanto consente loro di esercitare i propri diritti, in particolare il diritto di opposizione.

Violazione dell’obbligo di informare le persone (art. 14 GDPR)

La creazione di file di contatto da parte di rappresentanti di interessi a fini di lobby non è, di per sé, illegale. Possono invece comparire in questo fascicolo solo le persone che possono ragionevolmente aspettarsi, per la loro notorietà o per la loro attività, di essere oggetto di contatti di settore. Se non è necessario ottenere il consenso di queste persone, è necessario che i dati inseriti nell’archivio siano stati raccolti legalmente e che le persone siano informate dell’esistenza dell’archivio, al fine di poter esercitare i propri diritti, in particolare il loro diritto di opposizione.

La CNIL ha osservato che le persone i cui dati personali erano stati raccolti non sono state informate dell’esistenza del fascicolo impugnato fino al 2019, solo dopo la rivelazione della sua esistenza da parte dei media.

Tuttavia, in questo caso non era applicabile nessuna delle eccezioni all’obbligo di informare le persone previste dal GDPR. Gli interessati avrebbero pertanto dovuto essere informati del trattamento effettuato. Sul punto la CNIL ha osservato in particolare che la società MONSANTO disponeva di informazioni di contatto (indirizzo, numero di telefono o indirizzo e-mail) per quasi tutte le persone che avrebbe potuto facilmente utilizzare.

La CNIL ha inoltre ricordato che il fatto di non informare gli interessati dell’esistenza di un trattamento lede necessariamente l’esercizio dei diritti loro conferiti dal GDPR, l’informazione è un diritto essenziale che condiziona l’esercizio di altri diritti (diritti di accesso, opposizione, cancellazione, ecc.) di cui le persone beneficiano: in questo caso, gli è stato impedito di farlo per diversi anni.

Violazione dell’obbligo di vigilanza sul trattamento effettuato per conto del titolare con atto giuridico formale (articolo 28 GDPR)

In qualità di titolare del trattamento, la società MONSANTO aveva l’obbligo di fornire un quadro giuridico per il trattamento effettuato per suo conto dal suo subappaltatore, in particolare al fine di fornire garanzie in merito alla sicurezza dei dati. Tuttavia, la CNIL ha osservato che nessuno degli atti conclusi tra le due società includeva le menzioni previste dall’articolo 28 del GDPR.