Condominio

I Mercoledì della Privacy: resta fermo l'obbligo per le associazioni di mettere sul sito l'elenco degli iscritti

di Carlo Pikler (Centro Studi Privacy and Legal Advice)

Legge 4/13 e parere del Garante privacy, deve restare fermo l'obbligo per le associazioni di rendere visibile sul sito l'elenco degli iscritti
La normativa Privacy, ci insegna il GDPR, configura una tipologia di impostazione del diritto che è nuova e diversa rispetto a quanto il nostro tradizionale Stato di diritto ci ha abituato.

In Italia vigono le normative specifiche che dettano quello che si possa o non si possa fare, lasciando poi uno spazio residuo all'interpretazione, nel quale si inserisce la Cassazione con la sua giurisprudenza di legittimità, e la dottrina dei giuristi.Con il regolamento europeo sulla privacy, invece, vige la responsabilizzazione del titolare del trattamento, attraverso quel meccanismo di proattività che si chiama accountability. È il titolare del trattamento che deve scegliere quale misura tecnica ed organizzativa possa ritenersi adeguata alla sua casistica particolare per poter mitigare il rischio.

Il Regolamento europeo sulla privacy e il Garante, forniscono delle linee guida da seguire, dei principi da attuare. Poi, il dettaglio di come impostare il proprio adeguamento alla norma è lasciato alla parte, libera di valutare e di scegliere, assumendosi ovviamente anche il rischio delle scelte che decide di porre in essere, considerando che stiamo sempre parlando di un'attività pericolosa riconducibile nel 2050 c.c., con onere della prova per liberarsi del danno in capo al medesimo titolare del trattamento dati.

Questo è il quadro nel quale dobbiamo analizzare il parere N. 19 del Garante privacy emesso il 14 gennaio [doc. web 9543119] e confermato nella riunione del Collegio svoltasi il 19 marzo 2021.Il parere si rivolge a tutte le Associazioni (o gruppi tra privati) che tutelano i diritti individuali.

Esaminando il provvedimento del Garante, comunque, sembrerebbe che questo si ponga in contrasto rispetto alla normativa che disciplina le Professioni non riconosciute, in quanto la normativa in questione, all'Art 4 rubricato “Pubblicità delle associazioni professionali”, prevede al n. 1. “Le associazioni professionali di cui all'art. 2 e le forme aggregative delle associazioni di cui all'art. 3 pubblicano nel proprio sito web gli elementi informativi che presentano utilità per il consumatore, secondo criteri di trasparenza, correttezza, veridicità…”. In quest'ottica di trasparenza, l'Art. 5 della medesima L. 4/13, rubricato “Contenuti degli elementi informativi”, dispone che: “1. Le associazioni professionali assicurano, per le finalità e con le modalità di cui all'art. 4, comma 1, la piena conoscibilità dei seguenti elementi … omissis … b) l'elenco degli iscritti, aggiornato annualmente”.L'associazione di categoria dovrebbe quindi, da un lato, garantire la conoscibilità dell'elenco degli iscritti per tutelare i consumatori e, dall'altro, tutelare tali dati (che se si considera applicabile il parere sarebbero “sensibili” con conseguenza anche in relazione alla “pubblicità” degli stessi dati.Due previsioni quindi apparentemente in contrasto, da una parte la trasparenza richiesta dalla legge nazionale, dall'altra il parere del Garante.

Occorre pertanto effettuare una valutazione tra gli interessi contrapposti relativi da una parte alla riservatezza e, dall'altra, alla tutela del consumatore.In primo luogo si deve precisare che il parere del Garante nazionale non ha un'efficacia vincolante se non per il caso concreto, ma diverrebbe un valido elemento interpretativo rispetto al regolamento europeo che, invece, nella gerarchia delle fonti, si troverebbe in un gradino superiore rispetto alla legge azionale e, quindi, anche nei confronti della L. 4/13.Premesso questo, occorre esaminare il contrasto considerando sicuramente prevalente la normativa nazionale nel suo intento di tutelare il consumatore rispetto alla riservatezza del dato dell'associato.

Il parere del Garante, infatti, non entra nel merito in relazione al dovere di pubblicità come richiesto dalla L. 4/13, obbligo quindi che, a parere di chi scrive e fino ad un eventuale specifico provvedimento contrario sul punto, non può considerarsi derogato con il parere dell'Autority.Chiarito questo aspetto, resta comunque da risolvere l'applicabilità o la non applicabilità del parere del Garante alla L. 4/13 in relazione ad ogni altra considerazione diversa dall'art. 5 della Legge sulle professioni.Il nodo della questione sta nel determinare se il Garante intendesse indicare come esaustivo e non puramente indicativo l'elenco della tipologia di associazioni che indica nel parere (a carattere ideologico, politico, culturale, sociale, assistenziale, religioso, sindacale, ambientale o di promozione economica), che l'Autority, invece, indica solo a titolo di esempio.

Basterebbe anche poter considerare come applicabile il parere del Garante solo nel caso in cui i dati tenuti dalle associazioni rientranti nel parere siano idonei a rivelare le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale delle persone.Sul punto ci si aspetta quindi un chiarimento da parte del Garante, che possa consentire agli operatori il corretto approccio rispetto agli intendimenti dell'Autority. Nel mentre ci si sente di sposare l'interpretazione fornita dalle Associazioni di categoria che, con forza, hanno respinto il volersi vedere applicato il parere del Garante.

Nel mentre, però, fino a che non si arrivi ad parere chiarificatore, appare consigliabile far si che il dato che l'associazione degli amministratori pubblicizzi ai sensi dell'art. 5 L 4/2013, tenga comunque conto del principio di minimizzazione e, quindi, possa evitare di pubblicizzare dati ulteriori rispetto a quelli minimi richiesti dalla norma e collegati alla tutela del consumatore (magari solo nome, cognome e riferimenti dello studio).Nelle more di un chiarimento del Garante, appare anche consigliabile attuare tutte quelle misure organizzative interne a tutela dello stesso dato. Procedure organizzative, misure di sicurezza, Valutazione di impatto privacy e nomina del DPO, laddove il trattamento avvenga a livello nazionale, indicazione di questi riferimenti nell'informativa per fornire adeguati tutele allo stesso associato in relazione all'esercizio dei propri diritti.


Per saperne di piùRiproduzione riservata ©