Oggi rispondiamo al quesito di un nostro lettore e cogliamo l'occasione per parlare del parere n. 19 del 14 gennaio 2021 emesso dal Garante per la Protezione dei Dati Personali sullo schema di decreto del Ministero della Giustizia concernente l'istituzione presso lo stesso dell'elenco pubblico delle organizzazioni e associazioni legittimate a proporre una class action.
Il nostro lettore ci chiede:
"Cari amici di CondominioWeb, ho letto che, secondo il Garante della Privacy [riferito al parere di cui sopra, N.d.R.], le associazioni non possono dire se una certa persona è un loro associato.
Vale anche per le associazioni degli amministratori?
Io sapevo che la Legge 4/2013 prevede esattamente il contrario."
Chiariamo subito: il parere del Garante non si esprime rispetto a quanto previsto dalla Legge 14 gennaio 2013, n. 04 per le professioni non organizzate, tra le quali rientra certamente la professione di Amministratore condominiale.
Il parere del Garante ha riguardo alle organizzazioni ed associazioni che, ai sensi degli artt. 840 bis c.p.c. e 196 ter disp. att. c.p.c., sono legittimate a promuovere una c.d. azione di classe (class action).
Che cos'è la class action
L'art. 840 bis c.p.c. prevede che i diritti individuali omogenei siano tutelabili anche attraverso l'azione di classe e a tale scopo prevede che l'azione di classe possa essere promossa da un'organizzazione o un'associazione, senza scopo di lucro, i cui obiettivi statutari comprendano la tutela dei predetti diritti.
L'azione consiste nella richiesta di accertamento della responsabilità dell'autore della condotta che ha leso il diritto individuale omogeneo di volta in volta individuato, nonché nella condanna al risarcimento del danno ed alle restituzioni.
La stessa norma in parola richiede poi che l'organizzazione o l'associazione proponenti la class action debbano essere iscritte presso l'elenco pubblico istituito presso il Ministero della Giustizia.
L'art. 196 ter disp. att. c.c. prevede quindi che «Con decreto del Ministro della giustizia, di concerto con il Ministro dello sviluppo economico, previo parere delle Commissioni parlamentari competenti, sono stabiliti i requisiti per l'iscrizione nell'elenco di cui all'articolo 840 bis, secondo comma, del codice, i criteri per la sospensione e la cancellazione delle organizzazioni e associazioni iscritte, nonché il contributo dovuto ai fini dell'iscrizione e del mantenimento della stessa.
Il contributo di cui al presente comma è fissato in misura tale da consentire comunque di far fronte alle spese di istituzione, di sviluppo e di aggiornamento dell'elenco. I requisiti per l'iscrizione comprendono la verifica delle finalità programmatiche, dell'adeguatezza a rappresentare e tutelare i diritti omogenei azionati e della stabilità e continuità delle associazioni e delle organizzazioni stesse, nonché la verifica delle fonti di finanziamento utilizzate. Con il medesimo decreto sono stabilite le modalità di aggiornamento dell'elenco.»
Evidentemente, data l'importanza della class action, il Codice di procedura civile stabilisce che il Ministero, prima di iscrivere associazioni ed organizzazioni presso l'elenco dei proponenti l'azione di classe, verifichi la loro capacità rappresentativa e, per farlo, deve verificare i requisiti elencati dalla norma di attuazione.
Cosa c'entra il Garante Privacy?
L'art. 36 del Regolamento (UE) 2016/679 (GDPR), al paragrafo 4, prevede che gli Stati membri dell'UE siano obbligati a consultare l'Autorità di Controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottata dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo, qualora esso coinvolga il trattamento di dati personali di persone fisiche.
Riteniamo che, per le modalità con le quali era stato formulato lo schema di decreto da parte del Guardasigilli, cioè modalità che prevedevano la potenziale acquisizione di una dote massiccia di dati personali - quelli degli iscritti alle associazioni e organizzazioni - e comunque anche dato il trattamento dei dati personali dei rappresentanti delle associazioni o organizzazioni da iscrivere, il Dicastero abbia sottoposto il detto schema alla consultazione preventiva da parte del Garante Privacy, Autorità di Controllo italiana.
In effetti, il Garante Privacy, con il parere reso, ha dettato alcune indicazioni per 'correggere la rotta' rispetto ad alcuni elementi che non risultavano strettamente in linea con il Regolamento.
Vediamo quali.
I compiti a casa
Il Garante Privacy avanza alcune osservazioni e suggerimenti di modifica allo schema di decreto, ma quello che più rileva per il nostro pubblico e per rispondere al quesito del nostro lettore è l'aspetto relativo ai controlli previsti per verificare i requisiti di iscrizione all'elenco delle associazioni e organizzazioni autorizzate a proporre class actions.
Abbiamo visto sopra come sia lo stesso art. 196 ter disp. att. c.c. ad assegnare al Ministero il compito di indicare i requisiti per l'iscrizione nell'elenco, ferme rimanendo le indicazioni di massima dettate dalla stessa norma, in particolare la verifica della rappresentatività e della stabilità e continuità delle associazioni o organizzazioni che aspirano a farne parte.
Per attuare tutto ciò, il Ministero aveva ritenuto congruo prevedere che il Direttore Generale, soggetto cui veniva affidata la gestione materiale dell'elenco, potesse disporre accertamenti presso le sedi delle associazioni o organizzazioni, volti alla verifica dei requisiti per il mantenimento dell'iscrizione e che tra questi 'accertamenti' si potesse anche disporre la trasmissione al Ministero dell'elenco degli iscritti all'associazione od organizzazione, dal quale poi si sarebbe estratto un campione e che a questo campione sarebbe stata richiesta copia delle contabili dei versamenti delle quote associative oppure delle conferme di adesione.
Il Garante Privacy ha qualificato detta misura - la richiesta dell'elenco degli iscritti allo scopo della successiva verifica a campione - come un'«insuperabile criticità», invitando quindi il Ministero ad eliminarla dal decreto.
Il Garante Privacy ha sottolineato come detta verifica risulti sproporzionata rispetto ai principi di limitazione della finalità e di minimizzazione dei dati trattati, cardini del trattamento lecito così come disegnato dall'art... del GDPR.
Anche il Ministero di Giustizia, quale Titolare del trattamento che andrà a compiere con l'istituzione e la tenuta dell'elenco pubblico per le class actions, deve rispettare detti principi.
Sebbene la finalità sia chiaramente dettata dalla legge che affida al Ministero la compilazione dell'elenco, cioè la verifica dei canoni di rappresentatività, stabilità e continuità delle associazioni o organizzazioni che aspirano a farne parte, la medesima finalità non è realizzabile solamente con l'acquisizione dell'elenco degli iscritti, inteso come una mole sterminata di nominativi di persone fisiche, perché non è tanto il nominativo a determinare la rappresentatività dell'associazione o organizzazione considerate, quanto l'insieme degli stessi.
Superbonus 110% e privacy, molto rumore per nulla?
Insomma, l'associazione Alfa non è ritenuta rappresentativa della tutela dei diritti delle minoranze linguistiche solamente se i Sigg.ri Tizio e Caio sono ad essa iscritti, bensì se Alfa può contare un certo numero di iscritti e per un certo numero di anni - insieme ovviamente agli altri requisiti che il Ministero indicherà nel decreto.
Pertanto, la richiesta dell'elenco degli iscritti è ritenuta fuorviante e, di conseguenza, sproporzionata e non in linea con la finalità della verifica assegnata al Ministero dalla legge.
Non solo. Il Garante Privacy sottolinea con forza come le associazioni e le organizzazioni che vorranno essere iscritte all'elenco potranno avere, come oggetto, la tutela di interessi i più disparati, come elementi di carattere ideologico, politico, culturale, sociale, assistenziale, religioso, sindacale, ambientale, di promozione economica; tutte queste componenti, nel contesto privacy, sono raggruppate sotto un'unica categoria, cioè i Dati Particolari, ovvero quelli che eravamo soliti chiamare Dati Sensibili.
L'art. 9 (1) GDPR impone il divieto di trattamento di tali dati; il paragrafo 2 della medesima norma prevede poi 10 eccezioni a detto divieto, nelle quali però non ci sembra possa rientrare il trattamento relativo all'elenco degli iscritti nelle associazioni e organizzazioni di cui sopra.
Peraltro, lo stesso non rientrerebbe nemmeno nelle specificazioni all'eccezione di cui all'art. 9 (2) lett. g) GDPR, cioè il motivo di interesse pubblico rilevante, come indicate nell'art. 2 sexies del Codice Privacy, come modificato dal D. Lgs. 10 agosto 2018, n. 101.
Torniamo alle associazioni ex lege 4/2013…
Giustamente il nostro lettore ci chiede se il parere reso dal Garante Privacy al Ministero e sopra commentato abbia qualche impatto rispetto a quanto invece previsto dalla Legge 4/2013 per le associazioni delle professioni non organizzate, in particolare, per quel che ci riguarda, le associazioni rappresentative degli Amministratori di Condominio.
Cosa prevede la Legge 4/2013?
Le associazioni professionali sono previste e disciplinate come facoltative, nel senso che la costituzione non è obbligatoria, dall'art. 2 della Legge 4/2013.
Lo scopo delle stesse è, come previsto dall'art. 2, 1° comma, la valorizzazione delle competenze degli associati e la garanzia del rispetto delle regole deontologiche.
L'art. 4 della Legge 4/2013 prevede poi l'obbligo (dettato dall'uso dell'indicativo «pubblicano») per le suddette associazioni di pubblicare sul proprio sito web gli elementi informativi che presentano utilità per il consumatore.
Detti elementi informativi sono indicati dall'art. 5, 1° e 2° comma della Legge 4/2013: il 1° comma detta gli elementi informativi che tutte le associazioni debbono pubblicare, mentre il 2° comma si occupa degli elementi informativi che vanno pubblicati se le associazioni, come previsto dall'art. 4, 1° comma, secondo periodo, «autorizzano i propri associati ad utilizzare il riferimento all'iscrizione all'associazione quale marchio o attestato di qualità e di qualificazione professionale dei propri servizi, anche ai sensi degli artt. 7 e 8 della Legge 4/2013».
In tale ultimo caso, l'art. 5, 2° comma, lett. b) della Legge 4/2013 prevede che l'associazione pubblichi sul sito web l'elenco degli iscritti, aggiornato annualmente.
Quindi, si potrebbe obiettare, in tutti gli altri casi l'associazione non dovrebbe pubblicare l'elenco degli iscritti?
In realtà, potremmo argomentare che l'elenco degli iscritti potrebbe essere pubblicato anche previa acquisizione del consenso del singolo iscritto a fare ciò.
Inoltre, siccome ai sensi dell'art. 2, commi 2 e 3 della Legge 4/2013, le associazioni sono tenute ad adottare un Codice di Condotta, come previsto dall'art. 27 bis del Codice del Consumo (D. Lgs. 06 settembre 2005, n. 206 s.m.i.) e ad attivare uno Sportello del Consumatore, come previsto dall'art. 27 ter del medesimo Codice del Consumo e siccome l'art. 27 bis prescrive che sia il professionista - nel nostro caso, l'Amministratore - a comunicare ai 'suoi' consumatori l'esistenza ed il contenuto del Codice di Condotta, ci verrebbe da dire che il fatto che l'Amministratore sia iscritto a questa o quella associazione sia un 'segreto di Pulcinella', visto che l'Amministratore dovrà comunicare «aderisco al Codice di Condotta di Alfa» e da ciò dedurremo che egli sia un iscritto ad Alfa.
Quindi, salvo chiarimenti futuri, il parere reso dal Garante Privacy in commento non impatta sulla disciplina già prevista dalla Legge 4/2013 per le associazioni di professionisti ricomprese in essa.
