Privacy e associazioni: le regole per la gestione dei dati

Attenzione: questo articolo è stato scritto prima dell’entrata in vigore del  Regolamento UE 2016/679  (GDPR).

La normativa in materia di privacy (o trattamento dei dati personali) nasce con il  Decreto legislativo n.196/2003.  Negli anni ha subito diverse implementazioni, soprattutto riguardanti la privacy nel web (vedi le disposizioni di quest’anno sui  cookies).

Le disposizioni si applicano sia alle imprese che alle associazioni, ma con gradazioni di difficoltà differenti in base alla tipologia dei dati trattati.

Per molte associazioni settembre è il mese di inizio delle attività annuali, quindi partiamo con il piede giusto organizzando il lavoro da fare sulla privacy con questo piccolo vademecum pratico.

Cosa dice la normativa sulla privacy

Chi tratta i dati personali (in questo articolo le organizzazioni non profit) è tenuto a:

• informare il socio sull’uso che verrà fatto dei suoi dati personali e sulle modalità di gestione della “banca dati”;
• chiedere il consenso al socio;
• effettuare la notifica al Garante;
• chiedere l’autorizzazione al Garante (in caso di trattamento di dati sensibili);
• adottare misure minime di sicurezza nelle modalità di gestione dei dati;
• adempiere agli obblighi derivanti dalla cessazione del trattamento dei dati.

I dati cosiddetti “sensibili” sono esclusivamente: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.”  (art.4 comma d Dlgs n.196/2003).

Nel caso dell’associazione, il trattamento dei dati deve essere finalizzato al perseguimento degli scopi statutari: convocazione delle assemblee, comunicazioni su attività sociali, avvisi vari, ecc.

L’informativa sulla gestione dei dati, sull’uso degli stessi e il consenso del socio è bene che siano redatti in forma scritta. La cosa più semplice è che le informazioni siano contenute nel modulo di adesione (o allegate ad esso) e che siano firmate dal socio per autorizzazione.

L’associazione non può comunicare o diffondere all’esterno i dati dei soci, se non chiedendo esplicito consenso ad ognuno di loro.

Ad alcune associazioni nostre clienti è capitato che fossero gli organi di pubblica sicurezza a chiederli (carabinieri, polizia amministrativa, ecc.). Anche in questo caso l’associazione è tenuta alla riservatezza, quindi è bene farsi consegnare una richiesta ufficiale firmata da parte del richiedente prima di consegnare copia del libro dei soci.

Quali adempimenti per le associazioni sulla privacy

Se l’associazione non tratta dati sensibili, ma solo i dati anagrafici dei soci, le disposizioni sono poche:

• informare i soci e chiedere il consenso al trattamento dei dati (vedi il capitolo precedente);
• adottare misure minime di sicurezza legate ai luoghi di archiviazione dei dati e alle persone che li maneggiano (locali ad accesso riservato, archivi chiusi a chiave, password di accesso al computer, ecc.). Nel caso in cui il trattamento dei dati sia effettuato con strumenti elettronici, si deve redigere un documento programmatico sulla sicurezza  (in base al  disciplinare tecnico del Garante).

Se invece l’associazione gestisce dati sensibili, le cose si complicano perché gli adempimenti cambiano in base alla finalità associativa e alla tipologia dei dati trattati.

Considerate le diverse tipologie associative esistenti e la varietà delle attività svolte dalle associazioni, non è possibile includere in questo articolo tutti gli esempi.

Diciamo che le organizzazioni che in genere gestiscono dati sensibili sono quelle:

• sportive,
• religiose o filosofiche,
• operanti in campo socio-sanitario o assistenziale,
• sindacali o di categoria,
• i partiti o movimenti politici.

Se però tali associazioni aderiscono ad un’associazione nazionale (Arci, Acli, Uisp, Anspi, le varie Croci, ecc.) sono agevolate perché alcuni adempimenti vengono svolti direttamente dall’ente nazionale e di solito anche la modulistica di affiliazione contiene tutte le informazioni sulla privacy.

In conclusione

Può sembrare difficile, ma in realtà per le associazioni che svolgono solo attività istituzionale le regole sono poche e di buon senso. Basta conoscerle e applicarle.

La situazione si fa più complicata se l’associazione non aderisce ad alcun ente nazionale e gestisce dati sensibili.

n questo caso è opportuno fare un’analisi dettagliata dell’attività svolta per valutare come mettersi in regola.

Dal punto di vista della privacy gli aspetti più delicati per una associazione sono:

• il tesseramento;
• la gestione di mailing list dei soci (indirizzari per inviare comunicazioni ai soci);
• la gestione del sito web dell’associazione (cookies e quant’altro);
• la pubblicazione di foto dei soci;
• l’accesso ai dati da parte dei soci.

Per ognuno di questi punti trovate informazioni dettagliate sul sito del Garante della privacy. In particolare vi suggeriamo di leggere la parte relativa alle  associazioni e partiti politici.

Vuoi maggiori informazioni su questo argomento? Vuoi sottoporci un caso specifico?  Scrivici.

Germana Pietrani Sgalla

Lavoro dentro e a fianco del mondo no profit da oltre 25 anni. Ho fondato e amministrato organizzazioni attive in campo sociale e culturale. Il mio obiettivo è aiutare le associazioni a lavorare meglio, a crescere in modo sostenibile e vantaggioso.