Pubblicazione del provvedimento di espulsione di un associato: il Garante Privacy ammonisce l’Associazione per trattamento illecito di dati personali

Il Garante Privacy, in esito ad un reclamo, ha ammonito una CNA regionale (Confederazione Nazionale dell’Artigianato e della Piccola e Media Impresa – Federazione Regionale) per trattamento illecito di dati personali derivante dalla pubblicazione, sul proprio sito istituzionale, del provvedimento espulsivo a carico dell’associato reclamante. Il provvedimento espulsivo, oltre ad essere pubblicato, risultava indicizzabile dai motori di ricerca e pertanto consultabile da chiunque e conteneva dati personali del reclamante ed una sintesi delle violazioni ad esso imputate idonea, pertanto, a generare un pregiudizio per il soggetto interessato.

Il Garante, a fronte dei chiarimenti e informazioni forniti dalla CNA durante l’istruttoria, non ha condiviso la posizione del titolare del trattamento e ha ribadito che la base giuridica del trattamento dei dati degli associati è legittima solo quando il trattamento è necessario per adempiere agli obblighi derivanti dal vincolo associativo e qualora gli associati abbiano prestato il proprio consenso, chiarendo che il perseguimento del legittimo interesse dell’associazione non deve prevalere sui diritti e libertà fondamentali dell’interessato.

Il Garante rispetto al trattamento svolto dalla CNA ha, in particolare, evidenziato che:

• “ (…) la circostanza che, nel caso di specie, il trattamento dei dati personali dell’associato sia avvenuto mediante diffusione sul sito internet dell’Associazione (accessibile ad una pluralità indefinita degli utenti che navigano sul web) esclude in radice la sussistenza del presupposto del legittimo interesse, non ravvisandosi la necessarietà di tale trattamento per il raggiungimento delle finalità statutarie dell’ente, che, in base quanto sopra affermato, al massimo avrebbero potuto consentire comunicazioni rivolte “all’interno” dell’ambito associativo””
• “Si rammenta inoltre che il perseguimento del legittimo interesse dell’Associazione può essere evocato solo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, par. 1, lett. f) del Regolamento), “tenendo conto delle ragionevoli aspettative nutrite dall’interessato medesimo in base alla sua relazione con il titolare” e delle circostanze in cui l’interessato non possa “ragionevolmente attendersi un ulteriore trattamento dei suoi dati” (cfr. considerando 47 del Regolamento), tutti elementi che non si riscontrano con riguardo a trattamenti che -come nel caso di specie- determinano la conoscibilità indiscriminata delle informazioni personali degli aderenti, “all’esterno” della realtà associativa”

Sulla base di tali considerazioni e in relazione alla fattispecie in esame, il Garante  ha poi richiamato le disposizioni normative in materia sottolineandone l’applicazione in concreto, ovvero:

• il titolare del trattamento deve operare sempre nel rispetto dei principi di liceità, finalità e di minimizzazione dei dati (art. 5 Regolamento (UE) 2016/679); il rispetto di tale norma avrebbe comportato che, prima della pubblicazione, la CNA era tenuta a selezionare le informazioni, i dati e i documenti da pubblicare e a verificare la ricorrenza dei presupposti per l’oscuramento di determinati dati al fine di ridurre al minimo il loro trattamento; altrettanto la CNA avrebbe dovuto valutare se le finalità perseguite mediante la pubblicazione avrebbero potuto realizzarsi con altre modalità di modo da ridurre il rischio di identificazione del soggetto interessato;
• il trattamento dei dati per come è avvenuto non è sorretto da legittimo interesse collegato al vincolo associativo, in quanto è stato effettuato per la generica necessità di diffondere le informazioni alla collettività e di tutelare la reputazione dell’associazione; in altri termini le informazioni non sono state divulgate al fine di rendere nota l’espulsione internamente all’associazione, ma le modalità osservate ne hanno consentito una conoscenza e conoscibilità eccedenti lo scopo associazionistico;
• il trattamento dei dati, per come è avvenuto, non è stato sorretto da idonea base giuridica vista l’insussistenza di precise disposizioni interne legittimanti la pubblicazione online delle decisioni degli organi disciplinari dell’associazione ed in assenza di opportuni accorgimenti idonei a diffondere le informazioni minime necessarie al raggiungimento della finalità perseguita e in assenza della previsione di termini di conservazione adeguati.

Alla luce dell’istruttoria e delle ricostruzioni svolte, nonché in considerazione delle azioni che immediatamente dopo la segnalazione sono state poste in essere dalla CNA a correzione ed integrazione dei propri presìdi di privacy, l’Autorità pur riconoscendo l’illeceità del trattamento ha valutato la condotta dell’Associazione come violazione minore, comminando un’ammonizione ai sensi dell’art. 58, par. 2, lett. b) del Regolamento UE 2016/679 in particolare tenuto conto delle seguenti circostanze attenuanti:

1. il grado di collaborazione offerto dall’Associazione che ha provveduto prontamente a rimuove i dati pubblicati ed ha programmato l’aggiornamento del proprio Statuto e del Codice Etico al fine di prevenire tali irregolarità;
2. i dati pubblicati sono dati personali comuni
3. stante il traffico sul sito dell’ente, la pubblicazione on line ha raggiunto un numero limitato di soggetti.