I mercoledì della privacy - L’iscrizione di un amministratore a un’associazione è «dato sensibile»

La grande novità espressa dal Garante della privacy per la protezione dei dati personali è che l'identità degli iscritti alle associazioni è inviolabile e che l'appartenenza ad una associazione è un dato sensibile (rectius: particolare). Lo ha ribadito a conclusione della riunione del Collegio svoltasi il 19 marzo 2021.
L'Autority ha infatti confermato il parere n. 19/2021 emesso il 14 gennaio (doc. web 9543119) andando a dettare un principio che può sconvolgere le procedure interne delle associazioni e, per ciò che ci occupa, di quelle di categoria degli amministratori di condominio.

Il Parere è il frutto di una richiesta del ministero della giustizia in relazione allo schema di decreto, da adottare di concerto con il ministero dello sviluppo, sulle organizzazioni che partecipano a una class action e che, pertanto, devono figurare in un elenco pubblico istituito presso il ministero della giustizia. Benché ci si trovasse in un contesto diverso, che poco c'entra con le associazioni di categoria, il Garante nazionale, come spesso accade, ha colto l'occasione per prendere un importante provvedimento a carattere generale che porterà inevitabilmente a conseguenze enormi sulla gestione quotidiana dei dati per migliaia di titolari del trattamento.

Infatti, approfittando della richiesta, il Garante, scrive che laddove l'associazione tuteli i diritti individuali (quindi anche quelli riferiti al soggetto quale appartenente ad una categoria professionale): “i dati personali riferiti all'appartenenza ad associazioni private o ad altra organizzazione comunque definita, rientrano fra le categorie particolari di dati cui il regolamento e il codice sulla privacy riservano le più elevate garanzie nel caso in cui siano idonei a rivelare le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale delle persone”.

Il risultato è: appartenenza alle associazioni = dato sensibile.

La conseguenza impatta in maniera rilevante sulle Associazioni di categoria stesse le quali, quindi, dovranno adottare quelle misure di sicurezza di grado superiore per trattare i dati degli associati e per proteggerli, come si trattasse di dati sanitari.Le grandi Associazioni, che operano su territorio nazionale, dovranno anche considerarsi obbligate come dispone l'art 37 n. 3 del Regolamento europeo 16/679, a nominare un Data Protection Officer (D.P.O.) in quanto rientreranno inevitabilmente nella categoria dei titolari che effettuano quei trattamenti su “larga scala” ai sensi dell'art. 9 GDPR.Non solo, l'implicazione del provvedimento va ad incidere anche nella gestione del dato dell'Associato, che dovrà essere tenuto in sicurezza sia internamente all'Associazione, sia esternamente rispetto alle eventuali comunicazioni a terzi soggetti quali fornitori o partner commerciali.

Massima accortezza e procedure tecniche ed organizzative che devono alzare il livello di attenzione, con necessità di svolgere una valutazione di impatto privacy (DPIA), che diviene ora necessaria all'interno di ogni organizzazione associativa.Per l'associato, invece, il provvedimento va ad incidere anche in relazione all'acquisizione di ulteriori e nuovi diritti, primo tra tutti, quello di pretendere di avere un referente preparato in relazione alla gestione dei propri dati, il D.P.O. appunto, i cui dati di contatto dovranno essere disponibili allo stesso attraverso l'informativa che l'associazione gli mette a disposizione.

Altro diritto per l'Associato, è quello di poter sempre mantenere segreta l'appartenenza a questa o quella Associazione, posto che si tratterebbe di un'informazione che non può essergli richiesta se non in maniera assolutamente generica, essendo un'informazione parificabile all'appartenenza a questo o a quel partito politico.

Riservatezza e protezione, dunque, entrano in maniera forte in un contesto che ad oggi appare ancora lontano dall'essere “accountability”. L'Autority con questo provvedimento da una forte spinta verso la compliance e, inoltre, pone a rischio di controllo le medesime Associazioni di categoria, considerando che i soggetti che trattano dati particolari su larga scala sono quelli maggiormente soggetti ad ispezioni e, quindi, a conseguenti rischi di sanzioni in caso di mancato adeguamento alla norma.