(Provvedimento Garante della privacy 9672215 del 2021)
Come noto la raccolta, la conservazione e, in generale, l’intera gestione dei dati personali effettuata da ciascuna Associazione, in qualità di Titolare del trattamento, nei confronti dei propri associati e nel perseguimento degli scopi associativi, configura un’attività di trattamento di dati personali.
Il GDPR – Regolamento Eu 679/2016 – definisce i requisiti e le regole in materia di protezione e libera circolazione dei dati personali dei cittadini dell’Unione Europea e, in particolare, l’articolo 5 stabilisce che al fine di trattare i dati personali deve ricorrere una delle condizioni – basi giuridiche – espressamente elencante all’art. 6 par. 1 del Regolamento.
In virtù del principio di accountability enunciato dal GDPR, l’onere di individuare la base giuridica secondo la quale il trattamento può considerarsi lecito rispetto alla finalità dichiarata, spetta al Titolare del trattamento.
Nell’ambito del provvedimento 9672215 del 2021, il Garante della privacy ha fornito alcune indicazioni per l’individuazione della corretta base giuridica da applicare nel trattamento dei dati personali degli aderenti delle associazioni, stabilendo che il trattamento “… con riferimento ai dati comuni, è lecito laddove gli stessi abbiano prestato il loro consenso (art. 6, par. 1, lett. a) ovvero il trattamento sia necessario per il perseguimento del legittimo interesse dell’associazione o di terzi a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati (art. 6, par. 1, lett. f))…” e specificando che il principio del legittimo interesse è applicabile “…nei casi in cui lo stesso rientri nello svolgimento delle attività proprie dell’associazione per il perseguimento di scopi determinati e legittimi come individuati nelle norme statutarie e nei limiti in cui l’interessato, al momento della raccolta dei suoi dati, potesse ragionevolmente attendersi il trattamento medesimo…” al di fuori di tale ambito, il presupposto di liceità di trattamento dei dati dell’associato è il consenso informato.
In ottemperanza a quanto stabilito dal Garante della privacy, è bene verificare ed eventualmente aggiornare la base giuridica applicata al trattamento dei dati personali relativi agli associati sulla documentazione privacy- informative, registro dei trattamenti, ecc.
