Con l’entrata in vigore del nuovo Regolamento UE del Parlamento e del Consiglio Europeo 2016/679 detto “General Data Protection Regulation” (in breve “GDPR”) il trattamento dei dati, anche per le associazioni, vede alcune novità.

Il DGPR non ha comportato l’abrogazione dell’attuale normativa italiana (“Codice in materia di protezione dei dati personali” di cui al D.Lgs. n. 196/2003), la quale resta applicabile in tutte le norme non incompatibili con il GDPR. Sarà il legislatore italiano, in sede di emissione del Decreto Legislativo di “ratifica” del Regolamento UE, a stabilire le sorti della normativa interna (con ogni probabilità si limiterà a recepire il Regolamento, abrogando il vecchio Codice e aggiungendo la normativa di dettaglio).

Per agevolare le associazioni a capire le prinicpali novità introdotte dal nuovo Regolamento il consulente del CSV Padova, avv. Davide Cester, ha predisposto una serie di domande/risposte che trovate nel seguito.

Inoltre trovate disponibili:
– la presentazione riassuntiva con le principali novità (pdf)
– il fac simile di nuova informativa per soci e volontari (doc)

E’ in corso di aggiornamento, in base alla nuova disciplina e ai prossimi decreti attuativi, anche la pubblicazione “La privacy nelle associazioni di volontariato e non profit” dell’Avv. Davide Cester.

Cosa è cambiato? Esiste ancora la “vecchia” privacy?

Il nuovo Regolamento UE del Parlamento e del Consiglio Europeo 2016/679 detto “General Data Protection Regulation” (in breve “GDPR”) segna una ulteriore accelerazione nel campo della riservatezza e del trattamento dei dati personali.
Con la definitiva esplosione dei social network, delle piattaforme informatiche e dei motori di ricerca, le persone fisiche si comportano spesso in modo sostanzialmente opposto alla propria riservatezza, rendendo disponibili ai propri amici, al pubblico, alle imprese e alle autorità pubbliche, su scala europea e mondiale, innumerevoli informazioni personali.
La libera circolazione dei dati favorisce gli scambi, le relazioni sociali, la conoscenza, il confronto, ma cela anche vari rischi.
Il Regolamento lo dice chiaramente: il trattamento dei dati deve essere “al servizio dell’uomo”, che non deve esserne schiavo o oggetto.
Perché questo accada ogni persona deve essere posta in grado di avere il controllo su come i suoi dati, singoli o organizzati, vengono utilizzati, nell’ambito di un quadro europeo (e internazionale) di regole comuni.
Il testo della Regolamento è disponibile nel sito del Garante per la Protezione dei Dati Personali www.garanteprivacy.it.
Al momento, il DGPR non ha comportato l’abrogazione dell’attuale normativa italiana (“Codice in materia di protezione dei dati personali” di cui al D.Lgs. n. 196/2003), la quale resta applicabile in tutte le norme non incompatibili con il GDPR. Sarà il legislatore italiano, in sede di emissione del Decreto Legislativo di “ratifica” del Regolamento UE, a stabilire le sorti della normativa interna (con ogni probabilità si limiterà a recepire il Regolamento, abrogando il vecchio Codice e aggiungendo la normativa di dettaglio).

Definizioni vecchie e nuove

Per comprendere il GDPR è necessario avere un minimo di familiarità con i seguenti concetti/definizioni contenuti nell’art. 4, che non si differenziano peraltro in termini rilevanti rispetto a quelli del Codice italiano (D.Lgs. n. 196/2003).

TRATTAMENTO è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

DATO PERSONALE è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

INTERESSATO è la persona fisica identificata o identificabile attraverso i suoi dati personali. “Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Non è soggetto “interessato”, per il GDPR, la persona giuridica.

TITOLARE è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

RESPONSABILE DEL TRATTAMENTO è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

PROFILAZIONE è “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Nonostante il Regolamento non riproponga alcune definizioni del Codice, restano comunque valide altre definizioni quali:

INCARICATI sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

COMUNICAZIONE DEI DATI: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato […], dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

DIFFUSIONE DEI DATI: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Qual è lo scopo del GDPR?

Il GDPR vuole garantire che il trattamento dei dati personali dei cittadini dell’Unione Europea, e cioè l’utilizzo delle informazioni e notizie che li riguardano, si svolga nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento al diritto alla protezione dei dati personali (art. 1).

Più precisamente, il GDPR, in termini non molto diversi dal Codice italiano (D.Lgs. n. 196/2003), si propone soprattutto di far sì:
a) che i dati personali vengano utilizzati per scopi leciti e comunque per le finalità in base alle quali sono stati raccolti e non oltre il tempo necessario per raggiungere tali finalità;
b) che i dati conosciuti da estranei, che non vengano diffusi o comunque utilizzati contro la volontà o nell’ignoranza della persona cui si riferiscono;
c) che i dati personali non vengano distrutti o perduti.

Quali dati trattano le ODV ed in generale gli Enti del Terzo Settore e che natura hanno?

Le ODV e APS e in genere gli ETS raccolgono e utilizzano comunemente, nello svolgimento della loro attività, dati personali, e cioè informazioni e notizie riferite:
a) ai propri soci/aderenti;
b) ai beneficiari dell’attività istituzionale o utenti del servizio;
c) ai consulenti e collaboratori esterni;
d) agli eventuali dipendenti;
e) agli enti pubblici;
f) agli altri ETS e in genere i soggetti con cui vengono a contatto;
g) alle persone, enti e aziende a cui indirizzare campagne di sensibilizzazione e fundraising, ecc.
Costituiscono per esempio raccolte cartacee di dati personali il libro dei soci, il libro dei volontari, la rubrica per la corrispondenza, l’elenco dei donatori, ecc. Tali dati possono anche essere gestiti tramite computer e contenuti in banche dati, situazione che richiede l’adozione di particolari misure di sicurezza e di protezione dei computer.
Quanto alla natura dei dati, permane la distinzione tra:
DATI COMUNI (es. il nominativo, la data di nascita, il numero di cellulare dei soci/volontari o beneficiari, l’avvenuto versamento della quota associativa, gli studi compiuti), alcuni dei quali sono PUBBLICI, e cioè ricavati o comunque ricavabili da albi, elenchi e registri che per legge sono pubblici (es. il codice fiscale o le liste elettorali).
DATI SENSIBILI
DATI GIUDIZIARI
Costituiscono dati personali (comuni o sensibili) anche le immagini, i suoni, i video ecc., quando consentono di individuare una persona determinata. Anche a tali dati, quindi si applicano le regole del GDPR, oltre alle norme del codice civile (art. 10) sulla tutela dell’immagine.

Il RGDP riguarda anche le ODV e gli ETS? Si devono considerare “titolari del trattamento”?

Assolutamente SI, buona parte delle norme del RGDP si applicano anche alle ODV e APS ed in generale agli Enti del Terzo Settore, che sono “titolari del trattamento” se e ogni qualvolta svolgono anche una sola delle operazioni che concretano un trattamento di dati personali.

Il RGDP, infatti, non si applica ai trattamenti di dati svolti da “una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (es. rubrica telefonica nella propria abitazione) e sempre che non si svolga una comunicazione sistematica o diffusione. Il trattamento di dati svolto da una ODV o comunque da un ETS non ha fini esclusivamente personali, comporta molte volte una comunicazione sistematica, e rientra pertanto nell’ambito di applicazione delle norme del RGDP, ed in particolare di tutte le norme applicabili agli enti privati, quali sono le associazioni e le fondazioni.

Titolare del trattamento è la persona giuridica (qual è l’associazione), nel suo complesso, e non le persone fisiche che ne fanno parte.
Ciò non toglie:
– che le decisioni sui trattamenti da svolgere vanno adottate dall’organo o dalle persone fisiche cui è attribuita la gestione dell’ente (es. Consiglio Direttivo, il Presidente, ecc.);
– che gli adempimenti richiesti dal RGDP devono ovviamente essere attuati da persone fisiche (ad es. il Presidente, un consigliere delegato, i dipendenti, o anche i volontari);
– che i limiti imposti dal RGDP vanno rispettati da chiunque dell’associazione utilizzi dati personali;
– che, infine, le responsabilità civili, amministrative e penali in caso di violazione del RGDP gravano prevalentemente sulle persone fisiche che hanno agito.

È utile precisare che, ai fini dell’applicazione del Codice, non è rilevante l’iscrizione dell’associazione al registro del volontariato ex L. 266/91 o al registro della promozione sociale ex L. 383/00 né al RUNTS di prossima costituzione in base al Codice del Terzo Settore: le norme del RGDP che si riferiscono alle associazioni e agli ETS, infatti, non distinguono tra i vari soggetti appartenenti al terzo settore, ma parlano genericamente di fondazioni, associazioni o organismi senza scopo di lucro.

Posto che per il RGDP il Titolare è la persona giuridica che decide che trattamento di dati svolgere e come svolgerlo (“determina le finalità e i mezzi del trattamento di dati personali”), deve esser considerata titolare del trattamento anche la sezione locale o l’organismo periferico di una associazione, qualora appunto eserciti un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento.

Se quindi la sezione/organismo locale di una associazione nazionale decide in autonomia in tema di privacy rispetto alla “casa madre”, va considerata “titolare”, e cioè soggetto autonomo ai fini dell’applicazione del RGDP e del rispetto degli obblighi conseguenti: deve pertanto predisporre una propria informativa, deve chiedere il consenso al trattamento, deve tenere se del caso i Registri del Trattamento e così via.

Quali sono i criteri, i limiti e le finalità con cui le associazioni devono trattare i dati personali?

Ai sensi dell’art. 5 del RGDP le ODV, le APS ed in generale gli ETS, come qualsiasi titolare:
– devono trattare i dati in modo lecito e secondo correttezza e trasparenza;
– possono raccogliere i dati solo per finalità determinate, esplicite e legittime, ed utilizzare i dati solo in termini compatibili con tali scopi (“limitazione delle finalità”);
– devono assicurarsi che i dati raccolti siano adeguati, pertinenti e non eccedenti rispetto a quanto necessario per il perseguimento delle finalità per cui sono raccolti (“minimizzazione dei dati”);
– siano esatti e, se necessario, costantemente aggiornati (“esattezza dei dati”);
– devono conservarli per un periodo di tempo non superiore a quello necessario per il raggiungimento delle finalità per cui sono stati raccolti, a meno che la conservazione non avvenga per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (“limitazione della conservazione”);
– devono garantire un’adeguata sicurezza e protezione dei dati personali, mediante misure tecniche e organizzative adeguate, per evitare trattamenti non autorizzati o illeciti e per evitare la perdita e la distruzione accidentale dei dati (“integrità e riservatezza”).

Il PRINCIPIO DI FINALITÀ è uno dei fondamenti del trattamento dei dati.
Significa che la raccolta dei dati e il loro successivo utilizzo devono avere precise e determinate finalità, che vanno comunicate all’interessato e poi rispettate.
Per gli ETS le finalità del trattamento dei dati generalmente coincidono o sono compresi negli scopi istituzionali indicati nello statuto (anche se spesso lo statuto è spesso generico, ed invece le finalità del trattamento vanno maggiormente specificate nell’informativa).

Quindi ad esempio quando l’associazione raccoglie i dati comuni dei suoi associati per inserirli nel libro soci, per inviare a casa la corrispondenza o il giornalino dell’associazione e comunque per averne la reperibilità, o raccoglie i dati dei beneficiari dell’attività per garantire il servizio, non potrà senza l’autorizzazione e/o l’informazione specifica ai soci/beneficiari usare tali dati per scopi diversi da quelli istituzionali: ad esempio non potrà comunicare il nome e l’indirizzo o altre informazioni a terzi per pubblicità, iniziative commerciali o comunque per scopi che non riguardano l’ente.

 

Le associazioni ed ETS devono fornire all’interessato l’informativa? Le informative redatte in base all’art. 13 del Codice italiano sono sufficienti per il rispetto del GDPR?

Permane anche in base al RGPR, l’obbligo delle ODV, APS ed ETS in generale di fornire l’informativa all’interessato.

L’informativa è una comunicazione che serve per far conoscere all’interessato come il titolare gestisce e utilizza i dati che lo riguardano. È inoltre il presupposto essenziale perché l’interessato possa dare il consenso/autorizzazione al trattamento, quando questo è richiesto dalla legge.

Le informative redatte e trasmesse in base al Codice italiano (art. 13 D.Lgs. n. 196/2003) vanno dal 25 maggio 2018 integrate in base al contenuto dell’informativa descritto all’art. 13 del GDPR e ritrasmesse agli interessati.

L’informativa deve contenere:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Inoltre deve contenere:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’informativa può essere anche orale; tuttavia, poiché il titolare dovrà comunque dimostrare di averla fornita, è evidente che una qualche forma scritta è consigliabile.

L’informativa (insieme al consenso, ove richiesto) costituisce per le associazioni, soprattutto le più piccole, un’incombenza burocratica e scomoda. È utile però tener presente che:
– per quanto riguarda i nuovi soci, l’informativa può essere allegata o scritta sulla domanda di adesione all’associazione. Se è prevista una firma del modulo da parte dell’aspirante socio, la firma varrà anche come “presa visione” dell’informativa. In ogni caso la compilazione del modulo (nel quale è stampata anche l’informativa) direttamente da parte del socio è da considerarsi sufficiente;
– l’informativa può essere anche spedita via e-mail. In questo caso può essere opportuno chiedere al destinatario di rinviare un messaggio di “conferma”, che l’ente potrà stampare o comunque conservare;
– l’informativa vale per tutti i trattamenti futuri che riguardano l’interessato, e va quindi fornita una sola volta, se il trattamento dei dati non cambia e rispetta le finalità indicate nell’informativa medesima;
– l’informativa deve essere comunicata solo a quei soggetti dei quali l’associazione raccoglie, registra o utilizza i dati, e tra costoro non rientrano quindi i beneficiari dell’attività istituzionale che l’ente non identifica.

L’informativa va comunicata/consegnata ai soci e/o volontari, ai collaboratori esterni, ai dipendenti, ai beneficiari e a tutti coloro di cui l’associazione acquisisce, conserva e utilizza dati personali, che si possono definire “interessati”.

La comunicazione/consegna va fatta nel momento in cui l’interessato fornisce i suoi dati all’associazione: in pratica la prima volta che la persona viene a contatto con l’ente. Se i dati non sono forniti dall’interessato ma da altre persone/soggetti, l’obbligo dell’informativa all’interessato va adempiuto nel momento in cui l’associazione registra i dati o li comunica per la prima volta a terzi.

Esigenza di molte associazioni (soprattutto quelle con un elevato numero di soci e con un rapido turn-over) è quella di stampare un’unica informativa e renderla pubblica attraverso l’affissione nei locali dell’associazione. Si tratta di una scelta non espressamente ammessa dal GDPR, mentre il Codice italiano prevede forme semplificate di informativa solo in casi specifici o in ragione di un apposito provvedimento del Garante. L’affissione può costituire elemento presuntivo da cui desumere che l’informativa è pervenuta agli interessati; tuttavia potrebbe tutt’al più “coprire” alcuni soci (quelli che si recano in sede), ma non i beneficiari ed in genere le persone che non accedono alla sede dell’associazione. Si sconsiglia pertanto di adottare questa forma.
Si deve ritenere allo stesso modo non corretto l’inserimento dell’informativa nello statuto dell’associazione (le cui modifiche oltretutto sono decise dall’assemblea con maggioranze particolari, con evidenti problemi nel caso il trattamento di dati si svolga poi in termini diversi da quelli inizialmente descritti).
Maggiore idoneità potrebbe avere l’inserimento/pubblicazione dell’informativa all’interno del giornale/notiziario dell’associazione (o allegata allo stesso), se fatto pervenire direttamente agli associati. Va precisato che ai sensi dell’art. 13 del Codice l’informativa andrebbe comunicata/consegnata nel momento appena precedente a quello in cui l’interessato fornisce i suoi dati all’associazione, e che pertanto la pubblicazione nel giornalino potrebbe essere considerata tardiva. Tuttavia, nel caso in cui l’associazione non abbia finora comunicato alcuna informativa, tale modalità potrebbe rappresentare se non altro una “sanatoria” per regolarizzare la situazione.
ATTENZIONE: all’informativa va accompagnata la richiesta di autorizzazione/consenso al trattamento dei dati in tutti i casi in cui questa è da considerarsi obbligatoria.

I dati vanno aggiornati? Possono essere conservati anche dopo la cessazione del rapporto associativo?

L’aggiornamento o rettifica dei dati (art. 16 RGPD) deve essere svolto quando è necessario per il corretto raggiungimento delle finalità del trattamento o per soddisfare una legittima esigenza dell’interessato.

Chiaramente è interesse dell’associazione far sì che le informazioni relative ai soggetti con cui e a favore di cui opera siano aggiornati, e nella pratica ciò avviene comunemente, per iniziativa dell’associazione o dell’interessato che comunica all’associazione le variazioni intervenute (es. cambio di indirizzo). L’aggiornamento/rettifica dei dati è anche un vero e proprio diritto dell’interessato.

Quanto al problema della conservazione dei dati, soprattutto alla luce del nuovo RGDP ci si deve chiedere se l’associazione possa trattenere e utilizzare i dati personali dei propri associati anche dopo che essi hanno lasciato l’associazione (si tratta di un’esigenza sentita dalle associazioni, che desiderano anche solo conservare traccia di coloro che hanno “transitato” all’interno dell’ente).

Il RGDP, all’art. 9 comma 2 lett. d) consente l’utilizzo dei dati (sensibili) degli ex soci anche senza specifico consenso, se tale utilizzo è svolto nell’ambito dell’attività dell’associazione e con adeguate garanzie (di protezione dei dati), con divieto però di comunicazione all’esterno (per tale comunicazione ci vuole il consenso specifico dell’ex socio). In applicazione del principio di proporzionalità e minimizzazione dei dati, i dati “trattenuti” dall’associazione dopo l’uscita del socio dovranno però essere strettamente inerenti alle specifiche attività “residue” (es. invio della newsletter, convocazione per gli anniversari, ecc.), e quindi potranno per esempio ridursi al nominativo e all’indirizzo mail.

Quindi:
nell’informativa di cui all’art. 13 GDPD andrà specificato quali dati l’associazione intende conservare anche dopo la cessazione del rapporto associativo, fermo restando l’avvertimento all’interessato che comunque, in ogni caso, il socio cessato potrà chiederne la cancellazione;
– dei dati del socio cessato è comunque vietata la comunicazione all’esterno o la diffusione (salvo esplicito consenso del socio);
– con le opportune cautele per evitarne la diffusione, l’associazione potrà, secondo i principi di cui sopra, conservare una sorta di “albo d’oro” con i nominativi di coloro che sono stati soci, attraverso una rubrica o albo cartaceo (o attraverso lo stesso libro soci “storico”) conservati in luogo non accessibile a terzi.

Quello della conservazione dei dati dopo la cessazione del rapporto associativo è un aspetto comunque delicato, soprattutto con riferimento a quei dati considerati “sensibili”, in quanto idonei “a rivelare l’adesione ad associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale”. Si capisce che la diffusione o la comunicazione a terzi di una precedente iscrizione ad una di queste associazioni, o in genere ad una associazione, di una persona che ad un certo punto ha deciso di non farne più parte potrebbe essere considerata illecita e comunque non gradita all’interessato.
Quanto ai soggetti che eseguono abitualmente o periodicamente donazioni all’associazione o all’ETS, potrebbero considerarsi, ai sensi dell’art. 9 comma 2 lett. d) RGDP, persone che hanno “contatti regolari” con l’ente. In questo caso la conservazione dei dati e l’utilizzo (es. banca dati dei donatori) può avvenire senza il consenso, se i dati personali non vengono comunicati all’esterno.
Quanto invece ai dati dei beneficiari dell’attività, salvo non vi siano obblighi di legge di conservazione, essi vanno cancellati quando l’attività o il servizio nei loro confronti debba intendersi definitivamente esaurito.

Quali sono i diritti degli interessati nei confronti dei titolari che trattano i dati?

La protezione dei dati è assicurata all’interessato anche attraverso l’esercizio dei diritti indicati dagli articoli da 15 a 22 del GDPR.
In base a tali articoli l’interessato può infatti chiedere al titolare (e quindi all’ente non profit):
– di avere conferma che l’ente utilizza i suoi dati e di sapere quali siano questi dati;
– di conoscere l’origine dei dati (cioè come e da chi l’ETS li ha acquisiti), le finalità del trattamento, i soggetti a cui i dati vengono comunicati e il periodo di conservazione dei dati;
– di rettificare (correggere o integrare) i dati inesatti o incompleti (es. cambio di indirizzo o dello stato civile, aggiornamento del curriculum, ecc.);
– di cancellare i dati (cd. diritto “all’oblio”) quando il trattamento non è più necessario per il raggiungimento delle finalità per cui sono stati raccolti, o in caso di revoca del consenso, o in caso di trattamento illecito o negli altri casi previsti dall’art. 17 GDPR;
– di ottenere una “limitazione del trattamento” nei casi previsti dall’art. 18 DGPR;
– di poter trasferire i dati ad un altro titolare (diritto “alla portabilità dei dati”);
– di opporsi al trattamento dei suoi dati, anche se svolto correttamente dall’associazione, se sussistono “motivi particolari” (cioè particolari e valide ragioni: ad esempio se ha presentato domanda di recesso dall’associazione, o se il trattamento, anche se lecito, risulta lesivo della sua dignità o riservatezza);
– di opporsi al trattamento dei dati svolto per il “marketing diretto” (invio di materiale pubblicitario o vendita diretta o compimento di ricerche di mercato o di comunicazione commerciale;
– di non essere sottoposto ad una decisione basata su un “trattamento automatizzato” di dati (inclusa la cd. profilazione).

Quindi ogni persona può chiedere ad ogni titolare (es. banca, datore di lavoro, azienda, ente pubblico o privato, ODV/APS, ETS, ecc.) se e in che modo utilizza suoi dati personali e di esercitare i suddetti diritti, e anche le ODV, APS ed ETS, quali titolari, potrebbero ricevere tale richiesta.
La richiesta potrà pervenire tramite lettera raccomandata, fax o posta elettronica: si consiglia all’associazione di individuare una persona/Incaricato cui attribuire il compito di evaderla.
Si ricordi che sono “interessati” anche gli associati/volontari, e non solo i soggetti esterni all’associazione.

Cosa sono i dati sensibili?

Il Codice italiano definiva dati sensibili quei dati “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (art. 4, lett. d).

Il RGDP contiene, all’art. 9, una definizione (più generica) di “categorie particolari di dati personali”, che consistono in:
DATI SENSIBILI, che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale”;
DATI GENETICI e DATI BIOMETRICI intesi a identificare in modo univoco una persona fisica;
DATI SANITARI (e cioè i dati relativi alla salute) o quelli relativi alla vita sessuale o all’orientamento sessuale della persona.

I dati sensibili riguardano la sfera più intima dell’individuo e pertanto richiedono una particolare protezione, o perché dati che il soggetto ha interesse a non diffondere o perché informazioni che, se apprese al di fuori di un determinato contesto, possono essere causa di atteggiamenti discriminatori.

Le ODV/APS e ETS possono facilmente avere a che fare con dati sensibili: quelli dei beneficiari dell’attività sociale, quando operano proprio nei settori che il legislatore considera più delicati, come ad esempio l’ambito sanitario e della salute (ad es. chi lavora con malati, soggetti portatori di handicap o tossicodipendenti, ma anche con anziani portatori di patologie), l’ambito religioso o caratterizzato ideologicamente in senso politico, ma anche filosofico (ad es. un’associazione espressamente e “istituzionalmente” pacifista o antiproibizionista), l’ambito dell’appartenenza etnica (es. associazioni che lavorano con i nomadi o migranti).

In base all’art. 9 del GDPR si deve ritenere che sia dato “sensibile” la stessa informazione circa l’appartenenza di una persona ad una associazione che abbia carattere istituzionalmente religioso o filosofico, mentre non sembra avere natura “sensibile” l’informazione dell’appartenenza a quelle associazioni (la maggior parte) che si richiamano genericamente a doveri e principi di solidarietà e altruismo.

Le ODV, APS ed ETS devono chiedere il consenso all’interessato per il trattamento dei suoi dati personali “comuni” e “sensibili”?

L’acquisizione del consenso dell’interessato, ove non comporti operazioni gravose, è sempre consigliata, soprattutto nel momento attuale nel quale non è chiara la vigenza attuale e futura del Codice italiano e quindi non è facile individuare con precisione le ipotesi di esonero dall’obbligo di chiedere il consenso al trattamento.

Con riferimento agli “enti senza scopo di lucro”, il Codice italiano prevede che il consenso non sia necessario per il trattamento di dati comuni e sensibili dei soggetti “che hanno con essi contatti regolari” o degli “aderenti”, se il trattamento è necessario “per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto”, e se con l’informativa l’ente comunica all’interessato le modalità dell’utilizzo dei dati, e sempre che i dati non siano comunicati all’esterno o diffusi. In sostanza il Codice italiano stabilisce che se l’ente non profit tratta i dati personali comuni e sensibili dei soci per gli scopi statutari e non li comunica a terzi e non li diffonde, non ha l’obbligo di acquisire il consenso/autorizzazione dei soci.

Questa esenzione deve considerarsi esistente anche in base al GDPR, che, all’art. 9 comma 2 lett. d), consente all’associazione l’utilizzo dei dati sensibili (e a maggior ragione dei dati comuni) dei “membri”, “ex membri” e delle “persone che hanno regolari contatti” con l’ente, anche senza specifico consenso, se tale utilizzo è svolto nell’ambito dell’attività dell’associazione e con adeguate garanzie (di protezione dei dati), con divieto però di comunicazione all’esterno.

Profilo delicato resta quello di capire, ai fini dell’esonero dal consenso, se tra le persone che hanno “contatti regolari con l’ente” possano essere inclusi i beneficiari dell’attività che ricevono dall’associazione un servizio continuativo.
Con riferimento ai beneficiari e comunque ai non soci, possono però applicarsi alle ODV, APS ed ETS anche altre ipotesi di esclusione del consenso previste dal GDPR.
In particolare, ai sensi dell’art. 6 GDPR, il consenso non è necessario quando il trattamento dei dati comuni:
– è necessario per adempiere ad un obbligo legale imposto dal diritto dell’UE o dalla legge dello Stato membro;
– è necessario per l’esecuzione di un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
– è necessario per l’esecuzione di compiti di interesse pubblico;
– è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi che non lega i diritti e le libertà fondamentali dell’interessato (es. le campagne di raccolta fondi).
Ai sensi dell’art. 9 GDPR, il consenso non è necessario quando il trattamento dei dati sensibili:
– è necessario per gli adempimenti in materia di diritto del lavoro, sicurezza sociale e protezione sociale;
– è necessario per tutelare un interesse vitale dell’interessato o di altra persona fisica, e costoro non possano prestare il consenso;
– riguarda dati “resi manifestamente pubblici dall’interessato”.

Le norme di cui sopra consentono all’ODV, APS ed ETS di non chiedere il consenso se il trattamento:
– dei dati comuni e sensibili è necessario per l’adempimento degli obblighi nascenti dal rapporto di lavoro con i propri dipendenti;
– consiste nella comunicazione obbligatoria dei dati comuni all’Agenzia delle Entrate;
– consiste nella comunicazione dei dati comuni degli associati alla compagnia di assicurazione da parte delle ODV ed ETS iscritti ai registri del volontariato (e in futuro al RUNTS) per l’assicurazione obbligatoria;
– dei dati comuni serve per eseguire un servizio richiesto dal beneficiario (es. richiesta di trasporto o assistenza domiciliare);
– di dati sensibili serve per la tutela della vita o incolumità fisica della persona;
– di dati comuni avviene per campagne di raccolta fondi (fermo restando il diritto dell’interessato di opporsi).
In definitiva, si consiglia di chiedere il consenso ai beneficiari dell’attività se si trattano loro dati sensibili.
E va comunque tenuto presente:
– che anche in caso di esonero dal consenso, va sempre fornita all’interessato l’informativa, nella quale descrivere specificamente le modalità con cui l’associazione utilizza i dati
– che i dati sanitari e quei dati idonei a rivelare la vita sessuale non possono essere diffusi nemmeno su consenso dell’interessato.

Come va richiesto il consenso per il trattamento dei dati “comuni” e “sensibili”?

Ecco le caratteristiche del consenso descritte all’art. 23 del Codice italiano e all’art. 7 del DGPR:
espresso, cioè esplicito e manifestato in modo inequivocabile (non può essere desunto da un comportamento indiretto);
libero, cioè manifestato liberamente dal soggetto, richiesto in termini non definitivi e non incondizionati. Inoltre il consenso non può essere imposto se invece è facoltativo (ad esempio l’associazione non potrà imporre all’aderente di prestare il consenso al trattamento dei suoi dati per finalità estranee all’associazione, pena la sua mancata iscrizione);
specifico, ovvero riferito ad uno o più trattamenti individuati e aventi specifiche finalità, e descritti con linguaggio semplice e chiaro.
informato, ovvero preceduto dall’informativa di cui all’art. 13;
sempre revocabile (ovviamente la revoca non comporta l’illegittimità dei trattamenti svolti in precedenza).

Quanto alla forma del consenso, il DGPR non impone sia scritto, ma impone al titolare di “essere in grado di dimostrare” di averlo ottenuto, e quindi è consigliabile ottenere una sottoscrizione dell’interessato o comunque conservare prova dell’avvenuta autorizzazione.
Si possono a tal proposito utilizzare gli accorgimenti già individuati a proposito dell’informativa, anche perché la richiesta di consenso deve essere sempre preceduta/accompagnata dall’informativa.

Quindi:
– per quanto riguarda i nuovi soci/aderenti, l’informativa e la richiesta di consenso possono essere allegati o contenuti nella domanda di adesione all’associazione, o scritti nel retro.
– la richiesta di consenso può essere anche spedita via mail, con la richiesta all’interessato di inviare una mail (non automatica) di “conferma” (che l’ente potrà stampare e conservare), quando però gli sia stato reso chiaramente noto che il messaggio di risposta sarà inteso quale autorizzazione al trattamento.
– se l’associazione gestisce un sito web esiste la possibilità di utilizzare il cd. point&click, ovvero di creare attraverso appositi software una pagina web nella quale l’interessato può accedere (anche utilizzando una password appositamente comunicata dal titolare), per fornire i propri dati personali, per essere informato delle modalità del trattamento, e soprattutto per autorizzare il trattamento barrando una o più caselle (che non sia già “preflaggate”). Tale operazione rende molto semplice per le associazioni la raccolta dei dati, la comunicazione dell’informativa e l’acquisizione del consenso e si traduce in un buon risparmio di tempo per chi richiede e fornisce il consenso; importa però una certa spesa e l’intervento di un tecnico esperto, poiché richiede il rispetto di alcuni precisi requisiti di sicurezza e riservatezza delle transazioni informatiche, da valutare a seconda della tipologia dei dati forniti. È pertanto consigliata solo per le grandi associazioni.
– il consenso va acquisito una sola volta se il trattamento dei dati non cambia e rispetta le finalità indicate nell’informativa medesima;
– il consenso va richiesto solo a quei soggetti dei quali l’associazione raccoglie, registra o utilizza i dati, e tra costoro non rientrano ovviamente i soggetti beneficiari dell’attività istituzionale che l’ente non identifica.
– se l’associazione ha chiesto e ottenuto il consenso nel vigore del Codice italiano non ha l’obbligo di acquisirlo nuovamente, a meno che i trattamenti che svolge si siano a tal punto modificati da richiedere un’autonoma manifestazione di volontà dell’interessato.
Come è ovvio, l’acquisizione del consenso è abbastanza facile se l’interessato è un socio o un collaboratore dell’associazione; se invece è un beneficiario (si pensi ad esempio ad una persona anziana) potrebbero sorgere problemi e comunque un adempimento burocratico poco si adatta alla situazione. Certo che, se si ritiene necessario il consenso (perché il trattamento non rientra nelle ipotesi di esclusione o perché si ritiene comunque di acquisirlo), il mezzo più sicuro, anche in relazione ai dati comuni, è la sottoscrizione dell’interessato, perché consente al Titolare di dimostrare di averlo ricevuto.

Con riferimento agli interessati che siano minorenni, il consenso va prestato da coloro che esercitano la responsabilità genitoriale o, se esiste, dal tutore. Il GDPR prevede espressamente che il consenso possa essere rilasciato dai minori che abbiano almeno 16 anni, ma, deve ritenersi, solo con riferimento all’”offerta diretta di servizi della società dell’informazione” (piattaforme web, facebook, ecc.).
La richiesta di autorizzazione/consenso va fatta sottoscrivere personalmente all’interessato e deve essere preceduta dall’informativa di cui all’art. 13 del GDPR. In tal caso, invece di firmare per “presa visione” dell’informativa, l’interessato firmerà per autorizzazione/consenso al trattamento.

Come visto, non è semplice districarsi tra norme, ipotesi di esclusione, o capire se si sta svolgendo un trattamento di dati sensibili, o se effettivamente si pone in essere una comunicazione o una diffusione di dati e via dicendo. Nel dubbio è preferibile, in caso di incertezza, far sottoscrivere il consenso, sia per i dati comuni che per i dati sensibili, soprattutto nei casi in cui l’associazione ha “fisicamente” la possibilità di far sottoscrivere l’interessato.

Le ODV, APS e gli ETS devono nominare un “Responsabile della Protezione dei Dati” (Data Protection Officer - DPO)?

L’art. 37 del DGPR introduce la figura nuova, non prevista dal Codice italiano, del “Responsabile della Protezione dei Dati” (Data Protection Officer – DPO).
Trattasi di una persona interna o esterna al Titolare o anche di una società esterna a cui spettano compiti di controllo e assistenza sui trattamenti svolti dal Titolare, al fine di assicurare che tali trattamenti siano conformi al GDPR.
L’art. 37 stabilisce che siano obbligati a nominare il DPO:
a) gli enti pubblici;
b) i (Titolari) privati che hanno come attività principale lo svolgimento di “trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
c) i (Titolari) privati la cui attività principale consiste “nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

Sono quindi tenuti alla nomina del DPO solo gli enti del terzo settore che, nello svolgimento della loro attività principale, svolgono un monitoraggio sistematico SU LARGA SCALA dei beneficiari/destinatari della loro attività o compiono un trattamento SU LARGA scala di dati sensibili o giudiziari.

Per determinare quando un trattamento di dati è svolto “SU LARGA SCALA” si possono usare criteri quantitativi e qualitativi (numero degli interessati, numero di dati, estensione temporale e geografica del trattamento). Le Linee Guida europee (Article 29 Data Protection Working Party) hanno indicato a titolo esemplificativo come soggetti che svolgono trattamenti su vasta scala gli ospedali, le aziende di trasporto, le compagnie assicurative e gli istituti di credito, i fornitori di servizi di telecomunicazione, ecc.
Maggiori indicazioni potranno ricavarsi dagli elenchi di soggetti tenuti alla Valutazione d’impatto sulla protezione dei dati (necessaria proprio se il titolare svolge trattamenti di dati SU LARGA SCALA) che il Garante dovrà redigere ai sensi dell’art. 35 comma 4 DGPR.