L'analisi

Enti del Terzo settore, consigli per l’adeguamento privacy alla luce del GDPR

Come le altre realtà, anche gli enti del Terzo settore devono rispettare i principi del GDPR e completare il percorso di adeguamento privacy: il rischio è incappare in sanzioni. Ecco la situazione

30 Dic 2019
D
Alessandro Desiato

Avvocato, Privacy e Data Protection Consultant


Il GDPR ha avuto un impatto sugli enti del cosiddetto Terzo settore, che dovranno infatti completare il percorso di adeguamento privacy seguendo le indicazioni del regolamento europeo. Una situazione che è interessante approfondire.

Il contesto

Gli enti del Terzo settore hanno avuto una disciplina organica  tardiva  a partire dalla Legge n. 106 del 06 giugno 2016[1], nonostante la loro presenza sul territorio nazionale fosse cresciuta esponenzialmente nel tempo. Infatti, dai dati Istat emerge la costante crescita tanto che, nel 2016, le associazioni registrate come attive in Italia sono 343.432, con un impiego, alla data del 31 dicembre 2016, 812.706 dipendenti. L’Istituto ha, altresì, rilevato come rispetto al 2015, le istituzioni siano cresciute del 2,1%, i dipendenti del 3,1%. Trattasi, quindi, di un settore che continua ad espandersi nel tempo con tassi di crescita medio annui in linea con il profilo delineato dai censimenti tradizionali (Censimento permanente organizzazioni no profit anno 2016, data di pubblicazione 11 ottobre 2018).

È da rilevare, altresì, come il terzo settore si ponga come un universo frammentato e variegato di soggetti collettivi privati operanti in un ambito «terzo» rispetto allo Stato ed al mercato, situato al crocevia tra individuo e autorità pubblica in cui rientrano soggetti come le O.N.G., (l. n. 49/1987), le organizzazioni di volontariato (l. n. 266/91), le cooperative sociali (l. n. 381/1991), le associazioni sportive dilettantistiche (legge n. 398/1991), le ONLUS, (d.lgs. n. 460/1997), le fondazioni bancarie, (d.lgs. n. 153/1999), le associazioni di promozione sociale (l. n. 383/2000), gli istituti di patronato e di assistenza sociale (legge n. 152/2001)[2].

E perciò, anche questi enti dovranno adeguarsi ai principi previsti dal GDPR all’art. 5, ossia:

  • liceità, correttezza e trasparenza;
  • limitazione della finalità;
  • minimizzazione dei dati;
  • esattezza del dato;
  • limitazione della conservazione dei dati;
  • integrità e riservatezza;
  • responsabilizzazione.

Ovviamente saranno tutti obbligati all’osservanza e rischiano le sanzioni previste dal Regolamento in quanto non vi è distinzione di responsabilità tra piccoli e grandi titolari del trattamento. Solitamente per quanto riguarda le “piccole” realtà, i dati di cui gli enti  entrano di più in contatto riguardano raccolte cartacee come il libro soci o libro dei volontari contenenti appunti dati dei soci, dei beneficiari le attività sociali, elementi dei consulenti e collaboratori.

Ovviamente, con l’aumentare della digitalizzazione e l’avvento delle nuove tecnologie tali registri sono conservati su supporto digitale con tutte ciò che ne deriva circa le misure da adottare in materia di sicurezza. Anche in questo settore titolare del trattamento è la persona giuridica nel suo complesso e non le singole persone fisiche che ne fanno parte o che ne hanno la rappresentanza legale.

Specificamente la decisioni sui trattamenti da svolgere saranno adottate dall’organo che le gestisce come per esempio il Presidente, il Consiglio Direttivo, i dipendenti o volontari, così come saranno gli stessi su cui graveranno le responsabilità civili, amministrative e penali in caso di violazione del GDPR.

I provvedimenti del Garante della privacy

Sebbene nei provvedimenti dell’Autority non sia esplicitamente utilizzato il termine terzo settore, nel corso del tempo il Garante ha emesso, in conformità alla precedente normativa, diverse “autorizzazioni generali” in materia di utilizzo dei dati particolari (ex sensibili) rivolte agli enti di tipo associativo ed alle fondazioni.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

L’ultima emessa, prima dell’avvento del GDPR, è stata la n. 3 del 15 dicembre 2016 “Autorizzazione al Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni” ove già in previsione dell’entrata in vigore del Reg UE 2016/679 aveva determinato la sua validità sino al 23 maggio 2018. Tale autorizzazione era stata emessa considerando che le associazioni trattavano un elevato numero di dati sensibili, ora particolari, per la realizzazione di scopi determinati e legittimi individuati dagli statuti o atti costitutivi.

Il Garante aveva precisato che erano esclusi da tale trattamento i dati sensibili riguardanti lo stato di salute e la vita sessuale ai quali si riferiva l’autorizzazione generale n. 2/2016. A seguito dell’entrata in vigore del Reg. UE 2016/676 e del D.lgs. 101/2018 con provvedimento del 13 dicembre 2018 il Garante ha dovuto prendere in considerazione l’abrogazione degli artt. 26 e 40 ed ha individuato, così, le prescrizioni compatibili con il GDPR contenute nelle precedenti autorizzazioni, avviando al contempo una consultazione pubblica per ricevere osservazioni e proposte in ordine all’aggiornamento di tali prescrizioni.

Tale consultazione è sfociata che il recente “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. 10 agosto 2018, n. 101” Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019 ove il Garante ha ritenuto di apportare specifiche modifiche ed integrazioni al fine di rendere maggiormente chiare e precise le prescrizioni indicate.

In particolare, ha previsto che i dati relativi agli associati / aderenti possono essere comunicati agli altri associati / aderenti anche in assenza del consenso degli interessati a condizione che la predetta comunicazione sia prevista dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano rese note in sede di rilascio dell’informativa.

Anche la comunicazione e la diffusione dei dati sensibili all’esterno dell’associazione può essere effettuata previa informativa e purché i dati siano strettamente pertinenti alle finalità ed agli scopi perseguiti. Pertanto, in virtù del recente provvedimento adottato, gli Enti e le Associazioni, per i dati riguardanti gli associati, aderenti, beneficiari, assistiti e fruitori delle attività e dei servizi prestati dall’associazione, non dovranno chiedere per il trattamento previa autorizzazione al Garante.

DPO per gli enti del Terzo settore

Come noto la figura del DPO è stata introdotta dall’art. 37 GDPR il quale indica i casi in cui la nomina sia obbligatoria:

  • gli enti ed autorità pubbliche, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • i soggetti privati le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • i soggetti privati la cui attività consiste, nel trattamento su larga scala di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e reati di cui all’art. 10.

Per quanto attiene al nostro caso, guardando alle disposizioni del Garante ed alle linee guida del WP29, si può rilevare come, di solito, il trattamento di dati su larga scala difficilmente riguardi associazioni e simili, mentre invece è più frequente da parte loro di un trattamento, non occasionale, di dati relativi a soggetti minori, disabili, anziani o più “deboli” ovvero trattamenti di categorie particolari di dati ai sensi dell’art. 9 o dati relativi a condanne penali e a reati di cui all’art. 10.

A fronte di ciò, sono tenuti alla nomina di un DPO gli Enti ed Associazioni che, nello svolgimento della loro attività principale, svolgono un monitoraggio sistematico su larga scala dei beneficiari/destinatari della loro attività o compiono un trattamento non occasionale di dati relativi a soggetti vulnerabili o compiono trattamenti su larga scala di dati “particolari” (ex sensibili) o di dati giudiziari interconnessi con altri dati personali raccolti per finalità diverse[3].

Conclusione

Per concludere, senza la pretesa dell’esaustività di tale lavoro, il titolare del trattamento dovrà in ogni caso adempiere a tutti gli altri obblighi previsti dal Reg. UE 2016/679 come la tenuta del registro del trattamento, la stesura e la diffusione delle diverse informative nonché di tutti gli altri adempimenti previsti dal “normativa privacy”

_

Note

[1] Il Disegno di legge recante “delega al governo per la riforma del Terzo Settore, dell’impresa sociale e per la disciplina del Servizio civile universale” (A.C. 2617-C) venne approvato in prima lettura alla Camera dei Deputati il 09 aprile 2015, dopo l’esame in sede referente presso la XII Commissione affari sociali. Trasmesso al Senato (A.S. 1870) il disegno di legge venne assegnato in sede referente alla Commissione Affari costituzionali ed approvato con modifiche dall’Assemblea del Senato il 30 marzo 2016. Trasmesso alla Camera in seconda lettura, la XII Commissione affari sociali che ne concluse l’esame il 19 maggio 2016 senza modifiche. Il 25 maggio 2016 venne completato l’iter in terza lettura, alla Camera, con l’approvazione definitiva. Il disegno diventò finalmente L. 6 giugno 2016, n. 106 (la pubblicazione sulla G.U. avvenne il 18 giugno 2016, n. 141). (cfr. Renato Dabormida, Il Civilista, Officina del Diritto, Giuffrè Editore, 2017).

[2] Cfr. Giulia Tiberi, La dimensione costituzionale del Terzo Settore, Astrid.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

[3] cfr. “La tutela dei dati personali nelle associazioni di volontariato e promozione sociale e gli enti del terzo settore; in base al GDPR e al D.Lgs. n. 196/2003 aggiornato con D.Lgs. n. 101/2018”, Avv. Davide Cester, Gennaio 2019, CSV Padova.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3