Trattamento dati personali per associazioni


La tua associazione è in regola con il trattamento dei dai personali di chi ne entra in contatto? Il General Data Protection Regulation, noto come GDPR, è ormai in vigore dal 2016, anche le associazioni di volontariato, di promozione sociale e gli enti del Terzo settore sono tenuti a mettersi a norma con le regole e i diritti comuni in ambito europeo previsti dal Regolamento UE 2016/679.


Che cosa prevede il Regolamento UE 2016/679?

Il Regolamento UE 679/2016 uniforma la normativa europea in tema di riservatezza dei dati personali delle persone fisiche, facendo sì che siano rispettati con gli stessi principi e modalità i dati di tutti i cittadini europei, eliminando le differenze che negli anni si erano create tra gli Stati membri. L’obiettivo del “nuovo” Regolamento privacy è quindi, da un lato quello di armonizzare le previsioni e procedure, dall’altro di renderlo adeguato a un mercato tecnologico e digitale molto differente da quello degli anni novanta in cui è stato elaborato il precedente sistema di protezione dei dati della persona. Il Regolamento prevede in sostanza una serie di princìpi, passando da procedure più formali del “vecchio” sistema privacy a una tutela più sostanziale. Il Garante della privacy, in particolare, non fornisce una serie di moduli cui attenersi, ma richiede una valutazione personale e personalizzata del rischio che corrono i dati delle persone fisiche che l’ente, profit o non profit, si trova a trattare.


In sostanza lo scopo del Regolamento è garantire che il trattamento dei dati sia “al servizio della persona”. Ma in che modo?

Una volta effettuata questa valutazione dall’ente, non standardizzabile e che può essere fatta anche in modo molto semplice e informale (seppure per iscritto), è necessario ideare delle misure di sicurezza, dalle autorizzazioni, ad esempio la comunicazione al proprietario del dato dell’utilizzo che si farà dello stesso, la cosiddetta “informativa”, fino alle misure di tecnica di sicurezza pratiche come la chiusura degli armadi che contengono i dati, l’utilizzo di password e sistemi di autenticazione, a discrezione dell’ente purché adeguate a proteggere i dati delle persone fisiche interessate.


A quali dati si riferisce il Regolamento UE 2016/679?

Il Regolamento si riferisce esclusivamente ai dati personali dell’interessato: tutti i dati che gli appartengono, ad esempio la sua voce, immagine, indirizzo, codice fiscale, distinguendo poi gli stessi in dati comuni e dati particolari. Questi, in particolare sono categorie di dati particolarmente delicati, ad esempio, perché forniscono informazioni legate alla sfera più intima della persona, e possono comprendere dati genetici e biometrici, dati attinenti la salute fisica o mentale e i dati giudiziari.


Quali sono le sanzioni che prevede il GDPR per chi non si adegua alla normativa?

Sono previste forme di tutela giurisdizionale: la persona i cui diritti in tema di riservatezza sono stati lesi, potrà fare ricorso al giudice ordinario o all’autorità Garante per le sanzioni penali, che variano a seconda del reato, e per il risarcimento del danno. Esistono naturalmente anche sanzioni amministrative che dipendono dalle violazioni e che possono arrivare fino a un massimo di 10 milioni di Euro in alcuni casi meno gravi, e ad un massimo di 20 milioni di Euro in casi più gravi. Naturalmente si tratta di ipotesi dolose o colpose e di trattamenti solitamente più abituali per i cosiddetti “giganti della rete” che alle attività delle associazioni non profit.


Chi deve adeguarsi al Regolamento UE 2016/679?

Chiunque tratti per qualsiasi motivo un dato personale, deve adeguarsi al Regolamento elaborando una procedura personalizzabile in cui si dimostri espressamente e per ogni dato la correttezza e ammissibilità del trattamento dei dati e l’adeguatezza di misure tecniche e organizzative per la protezione dei dati.


Gdpr e privacy per associazioni cosa fare, come adeguarsi?

Dipende. Come visto va considerato caso per caso. Esistono princìpi, prassi, procedure ma non sono riassumibili.

Una nota da segnalare, è che molto spesso le associazioni sottovalutano la raccolta di dati che svolgono, ponendo molta attenzione nel comunicare l’informativa sulla privacy ai volontari, ma tralasciando a volte di comunicare adeguatamente come verranno trattati i dati ai propri utenti o beneficiari. Questa è un’informazione importante, tanto più se si raccolgono anche dati particolari, i così detti “dati sensibili” della precedente normativa, relativi allo stato di salute.

Con alcuni passaggi fondamentali è semplice creare una procedura di raccolta dei dati che sia rispettosa del diritto alla riservatezza.


Qui trovi qualche soluzione e una guida per il trattamento dei dati personali per le associazioni

Sicuramente la tua associazione si starà chiedendo come fare, e altre domande come: “quali sono i diritti degli interessati nei confronti dei titolari che trattano i dati? Esistono nuovi diritti rispetto alla “vecchia” privacy? Cambia qualcosa se l’ente non profit ha rapporti con la pubblica amministrazione? Come porsi per campagne di sensibilizzazione o fundraising? Quali dati può utilizzare a seconda di quali strumenti di comunicazione vengono utilizzati (e-mail, fax, sms, social?)”.

Sono tanti i quesiti che la normativa impone alle realtà del Terzo settore. Per tutte dà una risposta la pubblicazione Trattamento dati personali per associazioni, edita riflettendo sulle distinte situazioni che le associazioni si trovano a dover risolvere proponendo una risposta per ogni possibile quesito. Informative da distribuire, consensi e autorizzazioni da richiedere, registri delle attività di trattamento dei dati: sono anche molti i moduli che le associazioni si devono trovare a produrre e gestire. In questa pubblicazione ci sono suggerimenti operativi e format già pronti all’uso.

Per tutti la pubblicazione è scaricabile gratuitamente effettuando il login all’area riservata.

Nell’area riservata, sempre gratuitamente, si possono trovare anche i modelli proposti nella pubblicazione, ma in formato pronto per essere editabile.



Qui trovi:
- La pubblicazione Trattamento dati personali per associazioni
- I formulari:
Informativa e consenso per i soci
Informativa e consenso per i soci minorenni
Informativa e consenso per i beneficiari e gli esterni
Informativa e consenso per i beneficiari e gli esterni minorenni
Informativa per consulenti, collaboratori, fornitori
Informativa e consenso per i dipendenti
Informativa e consenso per gli utenti del sito internet
Informativa per iscritti alla newsletter
Avviso pubblico su foto e video
Atto di nomina per incaricato autorizzato
Accordo incarico al responsabile esterno del trattamento
Registro delle attività di trattamento


Se ritieni di averne bisogno, da questa stessa area riservata puoi chiedere una consulenza tarata sulle tue specifiche necessità, dopo aver visionato la Carta dei Servizi e delle Opportunità.