TELEASSISTENZA

Indirizzo

Strada Prati, 12/3

65124 Pescara

La tutela della privacy nelle Associazioni non profit

Anche le associazioni sono chiamate ad espletare gli adempimenti in materia di privacy da valutare in ragione della mole di dati trattati e dalla natura degli stessi.

Questo articolo è stato redatto a titolo esemplificativo e per avvicinare i dirigenti delle Associazioni alla gestione della Privacy delle loro associazioni conformemente a quanto previsto dal Regolamento Europeo sulla Protezione dei Dati Reg. UE 679/2016 (GDPR).
Ogni dirigente, dovrà prima di procedere alla stesura di un documento di Policy della Privacy analizzare e identificare quali dati e quali attività del proprio Ente possono essere sottoposte alla gestione privacy e di conseguenza predisporre una Privacy personalizzata della propria Associazione.

Chi tratta i dati personali e quindi anche le associazioni non profit, è tenuto a:

  • informare il socio sull’uso che verrà fatto dei suoi dati personali e sulle modalità di gestione della “banca dati”;
  • chiedere il consenso al socio;
  • effettuare la notifica al Garante;
  • chiedere l’autorizzazione al Garante (in caso di trattamento di dati sensibili);
  • adottare misure minime di sicurezza nelle modalità di gestione dei dati;
  • adempiere agli obblighi derivanti dalla cessazione del trattamento dei dati.

Sono considerati “Dati sensibili”: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.”
Nel caso di una associazione, il trattamento dei dati deve essere finalizzato al perseguimento degli scopi statutari: convocazione delle assemblee, comunicazioni su attività sociali, avvisi vari, ecc.
L’informativa sulla gestione dei dati, sull’uso degli stessi e il consenso del socio è bene che siano redatti in forma scritta chiara, univoca e semplice. La cosa più semplice è che le informazioni siano allegate al modulo di adesione, che siano firmate dal socio per autorizzazione e che ne sia rilasciata una seconda copia al socio stesso. Nel caso si tratti di un minore fino a 16 anni i documenti suddetti devono essere firmati per approvazione da entrambi i genitori del minore che ne devono mantenere una copia in loro possesso; infine per i minori da 16 anni fino alla maggiore età i documenti di Policy possono anche essere consegnati all’interessato previa spiegazione e certezza che lo stesso abbia compreso quanto deve sottoscrivere o meglio predisponendo una policy privacy specifica più semplice che deve comunque essere rilasciata in copia al minore.

Per la sottoscrizione on line l’età minima è 16 anni.
L’associazione non può comunicare o diffondere all’esterno i dati dei soci, se non chiedendo preliminarmente esplicito consenso ad ognuno di loro.

Se l’associazione non tratta dati sensibili, ma solo i dati anagrafici dei soci, le disposizioni sono poche e semplici:

  • informare i soci e chiedere il consenso al trattamento dei dati;
  • adottare misure minime di sicurezza legate ai luoghi di archiviazione dei dati e alle persone che li maneggiano (locali ad accesso riservato, archivi chiusi a chiave, password di accesso al computer, ecc.).
  • Nel caso in cui il trattamento dei dati sia effettuato con strumenti elettronici, si deve redigere un documento programmatico sulla sicurezza.

Se invece l’associazione gestisce dati sensibili, le cose si complicano perché gli adempimenti cambiano in base alla finalità associativa e alla tipologia dei dati trattati.

Considerate le diverse tipologie associative esistenti e la varietà delle attività svolte dalle associazioni, non è assolutamente possibile includere in questo articolo tutti gli esempi.

Diciamo che le organizzazioni che in genere gestiscono dati sensibili sono quelle:

  • sportive,
  • religiose o filosofiche,
  • operanti in campo socio-sanitario o assistenziale,
  • sindacali o di categoria,
  • i partiti o movimenti politici.

Se però tali associazioni aderiscono ad un’associazione nazionale sono solitamente agevolate perché alcuni adempimenti vengono svolti direttamente dall’ente nazionale e di solito anche la modulistica di affiliazione contiene tutte le informazioni sulla privacy.
Per la maggior parte delle associazioni Bandistiche, Corali etc. gli adempimenti dovrebbero limitarsi ai primi tre punti in rosso, ma verificate bene le vostre attività perché solo Voi conoscete la Vostra associazione.

Può sembrare difficile, ma in realtà per le associazioni che svolgono solo attività istituzionale le regole sono poche e di buon senso. Basta conoscerle e applicarle.

La situazione si fa più complicata se l’associazione non aderisce ad alcun ente nazionale e/o gestisce dati sensibili, in questo caso è opportuno fare un’analisi dettagliata dell’attività svolta per valutare come mettersi in regola.
Dal punto di vista della privacy gli aspetti più delicati per una associazione sono:

  • il tesseramento;
  • la gestione di mailing list dei soci (indirizzari per inviare comunicazioni ai soci);
  • la gestione del sito web dell’associazione (cookies e quant’altro);
  • la pubblicazione di foto dei soci;
  • l’accesso ai dati da parte dei soci.

Nel caso vi trovaste in questa situazione dovrete predisporre un documento di policy della privacy che comprenda tutti i punti indicati relazionando chiaramente:

  • quale destinazione e uso possono subire i dati raccolti per il tesseramento, chi ha l’accesso ad essi, chi li detiene e come vengono tutelati;
  • che utilizzo viene fatto e chi detiene la mailing-list dei soci, chi tutela questi dati e dove sono archiviati e quali accorgimenti di sicurezza sono stati predisposti contro attacchi hacker e furti dati sia fisici che virtuali;
  • come vengono gestiti cookies, dati raccolti, geolocalizzazione, profilazione e collegamenti ad altri siti, chi detiene questi dati e dove sono storati e quali accorgimenti di sicurezza sono stati predisposti contro attacchi hacker e furti dati;
  • Modalità di pubblicazione e luogo sia fisico che virtuale delle foto, indicazione delle occasioni specifiche, con speciale chiarezza e definizione della protezione iconografica dei minori,
  • In che modo i soci posso accedere ai dati e richiedere: accesso, modifica e cancellazione dei propri dati.
Quali sono i rischi e le sanzioni connesse al mancato adeguamento al GDPR?

Il mancato rispetto degli adempimenti essenziali evidenziati nonché dei princìpi di base del Regolamento Europeo 679/2016 potrà comportare, previa verifica ed accertamenti della Guardia di Finanza e delle altre Forze dell’ordine (chiamate ad agire per conto dell’Autorità Garante), l’irrogazione di sanzioni amministrative (da 10.000.000 a 20.000.000 di euro o dal 2% al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiori alle suddette cifre), penali (trattamento illecito di dati personali, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, inosservanza dei provvedimenti del Garante) e civili (risarcimento danni per violazione della protezione dei dati).

Se le sanzioni amministrative possono sembrare (non a torto) esorbitanti, è altrettanto condivisibile la necessità di adeguarsi al GDPR non solo per rispettare le previsioni del Regolamento Europeo, ma anche (e soprattutto?) per garantire a tutte le categorie di interessati che hanno a che fare con Associazioni Non Profit, Enti del Terzo Settore e Società Sportive Dilettantistiche la protezione e la riservatezza dei loro dati personali (in un mondo, a volte, dove la “tutela della privacy” sembra essere solo uno slogan).

Come sempre liberi di scegliere come procedere, ma non dite poi che non ve l’avevo detto 😉