A mio avviso non è opportuno dare una risposta generalizzata, ma occorre valutare di caso in caso se ciascuna associazione ricade nelle previsioni dell'obbligo del Data Protection Officer. E' infatti bene ricordare che, oltre alle pubbliche amministrazioni (eccetto le autorità giudiziarie) che sono tenute a prescindere a nominare un Dpo, l'obbligo ricade anche in tutti quei titolari del trattamento che nelle loro attività principali trattano su larga scala dati sensibili (ex art.9 del Gdpr), relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. In particolar modo, talvolta gli iscritti ad una determinata associazione potrebbero rivelare informazioni sensibili. In altri casi invece, le caratteristiche delle attività dell'associazione potrebbero non evidenziare subito l'esistenza di trattamenti che richiedono un controllo regolare e sistematico degli interessati, elemento che può emergere solo dopo un accurato assessment. Peraltro, ricordo che a norma del Gdpr, anche se la decisione finale è quella di non nominare un Dpo, se ne devono comunque rendicontare per iscritto le motivazioni.
Cordiali saluti
NIcola Bernardi