Il GDPR per associazioni del Terzo Settore: ecco cosa sapere

Il Regolamento Ue 2016/679, noto come GDPR (acronimo di General Data Protection Regulation) è pienamente applicabile in tutti gli Stati membri dell’Unione Europea fin dal 5 maggio del 2018. Sono quindi passati più di 6 anni, eppure sono ancora tante le associazioni che non si sono adeguate a quanto prevedono le “nuove” regole per la protezione della privacy delle persone fisiche per quanto riguarda il trattamento e la libera circolazione dei dati personali.  

In questo articolo faremo dunque il punto degli obblighi effettivi del GDPR per le associazioni e più in generale per gli Enti del Terzo Settore, per poi elencare sinteticamente cosa devono fare gli ETS per rispettare il Regolamento generale sulla protezione dei dati e non incorrere in sanzioni.  

Il GDPR, in breve

Il GDPR ha creato un regolamento per la protezione e il trattamento dei dati personali uniforme per tutti gli stati delli UE, andando quindi a creare uniformità dove prima, invece, si trovavano modalità e principi diversi in ogni paese.   

Il GDPR è andato a stabilire quali sono i 3 soggetti principali per quanto riguarda il trattamento dei dati personali. Si parla: 

• dell’interessato al trattamento dei dati (ovvero della persona di cui vengono raccolti i dati personali);  

• del titolare del trattamento dei dati (ovvero l’ETS); 

• di colui che gestisce i dati per conto del titolare.  

I principi fondamentali del GDPR mirano a garantire una maggior sicurezza e trasparenza nel trattamento dei dati, così da garantire agli interessati il diritto di conoscere modalità e finalità della raccolta dei dati, che possono essere trattati solo dopo un consenso esplicito; si parla inoltre della minimizzazione dei dati raccolti e della limitazione delle finalità.  

Come si applica tutto questo nel Terzo Settore? 

Il GDPR per le associazioni

Ancora oggi c’è chi è convinto che il Terzo Settore non debba adeguarsi al GDPR. Niente di più sbagliato, tanto più che gli ETS si trovano regolarmente a trattare un’importante mole di dati personali di soci, tesserati, donatori e collaboratori per il normale svolgimento delle proprie attività. Si pensi alle schede anagrafiche dei soci, o magari ai certificati medici dei ragazzi tesserati in un’associazione sportiva dilettantistica: si tratta in ogni caso di dati personali, talvolta sensibili, biometrici, o sulla condizione fisica o giudiziaria, che meritano d’essere gestiti in modo sicuro.  

Ecco che, allora, anche gli Enti del Terzo Settore sono chiamati a rispettare quanto previsto dalle linee guida del Regolamento Europeo per la protezione della privacy. Ma cosa deve fare nel concreto un’associazione non profit per mettersi in regola con il GDPR? 

Cosa fare per rispettare il GDPR nel Terzo Settore

Un’associazione che vuole mettersi in regola con il GDPR ed evitare sanzioni deve agire su più livelli. Di seguito vediamo quali sono le principali azioni necessarie.  

• Rilascio di informative sulla privacy: un’associazione o altro ETS deve partire dalle informative sulla privacy, che devono essere rilasciate a tutte le persone che affidano i propri dati personali all’ente. Si parla quindi dei soci e degli iscritti (in questo caso la scheda informativa sulla privacy deve essere inclusa nel modulo d’iscrizione), ma anche dei collaboratori, dei dipendenti, dei volontari, dei fornitori, e via dicendo. In questo modo si provvederà quindi a informare gli interessati su quali sono gli obiettivi e le modalità del trattamento e conservazione dei loro dati personali.  

• Richiesta di un consenso esplicito: il secondo passaggio prevede la richiesta di un consenso esplicito per il trattamento dei dati per eventuali finalità diverse rispetto a quelle strettamente necessarie all’ente per svolgere le proprie attività. 

• Nomina di un responsabile della gestione dei dati: ogni titolare del trattamento (ente) è tenuto a nominare un responsabile del trattamento dei dati. Può essere un responsabile esterno, come un consulente del lavoro o un commercialista.  

• Redazione di un registro delle attività di trattamento: ogni associazione, Pro Loco, ASD; ODV o altro ETS deve adottare e aggiornare regolarmente un registro che riporta in modo dettagliato i processi di trattamento dei dati personali. 

• Messa in campo di misure efficaci per la protezione dei dati: si parla di interventi di tipo fisico e informatico, muovendosi quindi dall’uso di archivi sicuri all’installazione di impianti di videosorveglianza, dall’impostazione di credenziali di accesso per l’uso dei sistemi informatici fino a delle soluzioni antivirus.  

• Formazione del personale: tutte le persone che possono entrare in contatto con i dati personali dei soci e che sono autorizzate al loro trattamento per svolgere le attività dell’ente (es: collaboratori, volontari, lavoratori sportivi, ecc.) devono essere formate riguardo alla protezione di tali dati.    

Proteggere la privacy dei soci e volontari che con Terzo Settore in Cloud

Mettersi in regola con il GDPR per un’associazione non è uno scherzo. Con Terzo Settore in Cloud proteggere la privacy dei soci e volontari è però più semplice, anche quando più persone hanno accesso alla segreteria. Oltre a consentire di archiviare in modo sicuro tutti i dati dei propri soci, volontari e collaboratori, infatti, il gestionale permette di configurare l’accesso degli utenti con un login personalizzato, così come previsto dal GDPR, in modo che ognuno possa accedere ad un profilo personalizzato ed eventualmente modificare esclusivamente le informazioni per le quali è stato autorizzato l’accesso.