Gli Ets e gli adeguamenti per la privacy

Il GDPR ha avuto un impatto sugli enti del cosiddetto Terzo settore, che dovranno infatti completare il percorso di adeguamento privacy seguendo le indicazioni del regolamento europeo. Una situazione che è interessante approfondire.

Gli enti del Terzo settore hanno avuto una disciplina organica tardiva a partire dalla Legge n. 106 del 06 giugno 2016, nonostante la loro presenza sul territorio nazionale fosse cresciuta esponenzialmente nel tempo. Infatti, dai dati Istat emerge la costante crescita tanto che, nel 2016, le associazioni registrate come attive in Italia sono 343.432, con un impiego, alla data del 31 dicembre 2016, 812.706 dipendenti. L’Istituto ha, altresì, rilevato come rispetto al 2015, le istituzioni siano cresciute del 2,1%, i dipendenti del 3,1%. Trattasi, quindi, di un settore che continua ad espandersi nel tempo con tassi di crescita medio annui in linea con il profilo delineato dai censimenti tradizionali (Censimento permanente organizzazioni no profit anno 2016, data di pubblicazione 11 ottobre 2018).

È da rilevare, altresì, come il terzo settore si ponga come un universo frammentato e variegato di soggetti collettivi privati operanti in un ambito «terzo» rispetto allo Stato ed al mercato, situato al crocevia tra individuo e autorità pubblica in cui rientrano soggetti come le O.N.G., (l. n. 49/1987), le organizzazioni di volontariato (l. n. 266/91), le cooperative sociali (l. n. 381/1991), le associazioni sportive dilettantistiche (legge n. 398/1991), le ONLUS, (d.lgs. n. 460/1997), le fondazioni bancarie, (d.lgs. n. 153/1999), le associazioni di promozione sociale (l. n. 383/2000), gli istituti di patronato e di assistenza sociale (legge n. 152/2001).

E perciò, anche questi enti dovranno adeguarsi ai principi previsti dal GDPR all’art. 5, ossia:

liceità, correttezza e trasparenza;
limitazione della finalità;
minimizzazione dei dati;
esattezza del dato;
limitazione della conservazione dei dati;
integrità e riservatezza;
responsabilizzazione.
Ovviamente saranno tutti obbligati all’osservanza e rischiano le sanzioni previste dal Regolamento in quanto non vi è distinzione di responsabilità tra piccoli e grandi titolari del trattamento. Solitamente per quanto riguarda le “piccole” realtà, i dati di cui gli enti entrano di più in contatto riguardano raccolte cartacee come il libro soci o libro dei volontari contenenti appunti dati dei soci, dei beneficiari le attività sociali, elementi dei consulenti e collaboratori.

Ovviamente, con l’aumentare della digitalizzazione e l’avvento delle nuove tecnologie tali registri sono conservati su supporto digitale con tutte ciò che ne deriva circa le misure da adottare in materia di sicurezza. Anche in questo settore titolare del trattamento è la persona giuridica nel suo complesso e non le singole persone fisiche che ne fanno parte o che ne hanno la rappresentanza legale.

Specificamente la decisioni sui trattamenti da svolgere saranno adottate dall’organo che le gestisce come per esempio il Presidente, il Consiglio Direttivo, i dipendenti o volontari, così come saranno gli stessi su cui graveranno le responsabilità civili, amministrative e penali in caso di violazione del GDPR.

Sebbene nei provvedimenti dell’Autority non sia esplicitamente utilizzato il termine terzo settore, nel corso del tempo il Garante ha emesso, in conformità alla precedente normativa, diverse “autorizzazioni generali” in materia di utilizzo dei dati particolari (ex sensibili) rivolte agli enti di tipo associativo ed alle fondazioni.

L’ultima emessa, prima dell’avvento del GDPR, è stata la n. 3 del 15 dicembre 2016 “Autorizzazione al Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni” ove già in previsione dell’entrata in vigore del Reg UE 2016/679 aveva determinato la sua validità sino al 23 maggio 2018. Tale autorizzazione era stata emessa considerando che le associazioni trattavano un elevato numero di dati sensibili, ora particolari, per la realizzazione di scopi determinati e legittimi individuati dagli statuti o atti costitutivi.

Il Garante aveva precisato che erano esclusi da tale trattamento i dati sensibili riguardanti lo stato di salute e la vita sessuale ai quali si riferiva l’autorizzazione generale n. 2/2016. A seguito dell’entrata in vigore del Reg. UE 2016/676 e del D.lgs. 101/2018 con provvedimento del 13 dicembre 2018 il Garante ha dovuto prendere in considerazione l’abrogazione degli artt. 26 e 40 ed ha individuato, così, le prescrizioni compatibili con il GDPR contenute nelle precedenti autorizzazioni, avviando al contempo una consultazione pubblica per ricevere osservazioni e proposte in ordine all’aggiornamento di tali prescrizioni.

Tale consultazione è sfociata che il recente “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. 10 agosto 2018, n. 101” Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019 ove il Garante ha ritenuto di apportare specifiche modifiche ed integrazioni al fine di rendere maggiormente chiare e precise le prescrizioni indicate.

In particolare, ha previsto che i dati relativi agli associati / aderenti possono essere comunicati agli altri associati / aderenti anche in assenza del consenso degli interessati a condizione che la predetta comunicazione sia prevista dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano rese note in sede di rilascio dell’informativa.

Anche la comunicazione e la diffusione dei dati sensibili all’esterno dell’associazione può essere effettuata previa informativa e purché i dati siano strettamente pertinenti alle finalità ed agli scopi perseguiti. Pertanto, in virtù del recente provvedimento adottato, gli Enti e le Associazioni, per i dati riguardanti gli associati, aderenti, beneficiari, assistiti e fruitori delle attività e dei servizi prestati dall’associazione, non dovranno chiedere per il trattamento previa autorizzazione al Garante.

Come noto la figura del DPO è stata introdotta dall’art. 37 GDPR il quale indica i casi in cui la nomina sia obbligatoria:

gli enti ed autorità pubbliche, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
i soggetti privati le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
i soggetti privati la cui attività consiste, nel trattamento su larga scala di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e reati di cui all’art. 10.
Per quanto attiene al nostro caso, guardando alle disposizioni del Garante ed alle linee guida del WP29, si può rilevare come, di solito, il trattamento di dati su larga scala difficilmente riguardi associazioni e simili, mentre invece è più frequente da parte loro di un trattamento, non occasionale, di dati relativi a soggetti minori, disabili, anziani o più “deboli” ovvero trattamenti di categorie particolari di dati ai sensi dell’art. 9 o dati relativi a condanne penali e a reati di cui all’art. 10.

A fronte di ciò, sono tenuti alla nomina di un DPO gli Enti ed Associazioni che, nello svolgimento della loro attività principale, svolgono un monitoraggio sistematico su larga scala dei beneficiari/destinatari della loro attività o compiono un trattamento non occasionale di dati relativi a soggetti vulnerabili o compiono trattamenti su larga scala di dati “particolari” (ex sensibili) o di dati giudiziari interconnessi con altri dati personali raccolti per finalità diverse.

Per concludere, senza la pretesa dell’esaustività di tale lavoro, il titolare del trattamento dovrà in ogni caso adempiere a tutti gli altri obblighi previsti dal Reg. UE 2016/679 come la tenuta del registro del trattamento, la stesura e la diffusione delle diverse informative nonché di tutti gli altri adempimenti previsti dal “normativa privacy”
news
La posizione delle ASD e SSD di fronte alla riforma del Terzo Settore
22-12-2018
Secondo quanto già previsto dalla Riforma del Terzo settore, come da testo dei dlgs. 112/2017 e 117...leggi tutto
Attività formativa per Enti del terzo settore
08-11-2018
ALESSANDRIA – Prosegue l’attività di formazione del CSVAA proposta agli Enti del Terzo Settore....leggi tutto
Data integration: arriva il «passaporto digitale» per il Terzo Settore firmato Italia non profit
08-11-2018
Che farsene di un documento? Tante cose, soprattutto se facilita la vita e riduce le disuguaglianze ...leggi tutto
Riforma del Terzo Settore: come cambieranno le Associazioni?
08-11-2018
Fornire supporto alla propria rete associativa, ma anche agli altri Enti che fanno riferimento alla ...leggi tutto
Terzo settore: fino al 30 novembre le domande per i contributi
08-11-2018
Livorno – Fino al 30 novembre 2018 le associazioni e gli altri soggetti del Terzo Settore possono...leggi tutto
Terzo settore: 62 milioni per iniziative di livello nazionale e locale
08-11-2018
(Regioni.it 3476 - 18/10/2018) “Le Regioni hanno dato l’intesa all’atto di indirizzo con cui s...leggi tutto