Il provvedimento del Garante per la Privacy 145 del 5 Giugno 2019, pubblicato sulla GU dello scorso 29 Luglio, prevede una dettagliata disciplina per la raccolta, protezione e trattamento dei dati personali da parte non solo dei datori di lavoro, dei consulenti e di coloro che ne vengono nella disponibilità per ragioni professionali, ma va a toccare anche gli organismi associativi e le organizzazioni religiose.

L’intervento appare opportuno, quantomeno per richiamare ad una maggiore attenzione sulla protezione da parte di chi entri nella disponibilità di questi dati che appaiono tra i più sensibili ed importanti per una persona, in quanto vanno a toccare la propria sfera intima e personale e, come intuitivo, possono essere tra i più appetibili da parte di pirati del web per perpetrare non solo truffe, ma anche profilazioni, hackeraggio profili e ogni altra attività illecita connessa al dato. Si pensi, ad esempio, in periodo di campagna elettorale, al poter accedere alla banca dati di un partito per inviare alla mailing list degli iscritti o simpatizzanti, email volte a far cambiare idea o fake news create ad arte? Allo stesso modo, durante il periodo di denunce dei redditi, ben si potrebbero inviare mail per convincere a donare il proprio cinque per mille ad un’associazione di cui si riescono ad individuare i simpatizzanti.

Ecco che il Garante ha individuato una serie di enti collettivi cui applicare rigorose modalità di trattamento dei dati. In particolare, tra le altre, il Garante indica i partiti e movimenti politici, associazioni sindacali e patronati, ma anche fondazioni e comitati senza scopo di lucro e le ONLUS, le Cooperative e, non ultime, chiese, associazioni e comunità religiose.

Il trattamento è previsto possa essere relativo solo ad associati e soci, ma anche ai familiari e conviventi “se strettamente indispensabile al perseguimento delle finalità dell’associazione.” Le norme vengono estese ad aderenti, sottoscrittori e aspiranti candidati e a coloro che ricoprano non solo cariche sociali ma, espressamente, anche quelle onorifiche. Si pensi all’abitudine di nominare soci onorari in club e associazioni. Interessante e all’aspetto peculiare l’estensione degli obblighi di protezione dei dati anche in favore di assistiti e fruitori delle attività e servizi prestati da associazioni, enti e organizzazioni di qualsiasi tipo. In questo caso l’anonimato dovrebbe essere una garanzia per molti beneficiati, ma il Garante è andato ben oltre prevedendo che, in caso di raccolta dati, gli stessi trovino adeguata protezione.

Il trattamento deve ovviamente essere finalizzato al perseguimento degli scopi sociali, predeterminati e legittimi, come da statuti e atti costitutivi, ovvero contratti, ma anche, laddove esistenti, le finalità religiose, politiche, sindacali, sportive e così via, insite nello scopo dell’associazione stessa. Viene inoltre previsto l’uso per ragioni di giustizia, già indicando gli arbitrati che molti atti costitutivi di associazioni prevedono, nonché il diritto di accesso laddove applicabile. E’ poi espressamente previsto che, qualora i soggetti indicati al punto 2.1 si avvalgano di persone giuridiche o di altri organismi con scopo di lucro o di liberi professionisti per perseguire le predette finalità, ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, gli stessi possono effettuare il trattamento dei dati in questione.

Particolare rigore è dedicato all’informativa che, proprio per le peculiari ragioni delle associazioni, dovrà farne menzione e indicare tutti i soggetti a cui i dati potranno essere comunicati. Particolarità è la previsione, non presente ad esempio nelle norme relative al trattamento da parte dei datori di lavoro, della possibilità di comunicare i dati personali degli associati, anche in assenza del consenso degli interessati, a condizione che la predetta comunicazione sia prevista - nell’ambito dell’autonomia privata rimessa a ciascun ente - dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano rese note agli interessati in sede di rilascio dell’informativa ai sensi dell’art. 13 GDPR.