Il GDPR e le organizzazioni di volontariato

Sommario: 1. Premessa – 2. GDPR: innovazione, principi e ambito di applicazione – 3. Il Terzo Settore: le Organizzazioni di Volontariato – 4. Le Organizzazioni di Volontariato e la nuova normativa sulla privacy – 5. Conclusioni

1. Premessa

Dal 2018 in Europa la normativa della privacy ha un nuovo nome: GDPR. Non è un semplice cambio d’abito, ma un vero e proprio cambio di stile. Nel paragrafo successivo indicheremo brevemente le novità introdotte, per poi contestualizzare la nuova normativa nel fitto tessuto del Terzo Settore.

Il capo I – Disposizioni Generali – del GDPR, all’art. 4 fornisce un primo strumento di identificazione: le “definizioni”. In particolare al punto 9) si definisce il destinatario come “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento”.

Da questo inciso dunque emerge un destinatario delle norme abbastanza fluido. Si desume che gli Enti del Terzo Settore, nella loro veste di enti che perseguono finalità solidaristiche, civiche e di utilità sociale, sono destinatari del GDPR al pari delle più grandi imprese.

2. GDPR: innovazione, principi e ambito di applicazione

A far data dal 25 maggio 2018 il Regolamento Europeo 2016/679 è direttamente applicabile in tutti gli Stati membri dell’Unione Europea. Il Regolamento, meglio noto come GDPR (General Data Protection Regulation) nasce per uniformare la normativa sulla privacy a livello europeo, sottolineando l’importanza della tutela dei diritti fondamentali e ponendo come nucleo centrale della tutela principi di diritto basati sulla “responsabilizzazione”.

Ulteriori novità introdotte dal Regolamento possono essere così sintetizzate: presenza di una figura ad hoc, il Data Protection Officer (DPO): responsabile della protezione dei dati che vigila sul corretto trattamento degli stessi; centralità del consenso informato: il consenso deve seguire la comunicazione dell’informativa; ampliamento della categoria dei dati particolari (ex dati sensibili); obbligo di notifica al Garante per la protezione dei dati personali e all’interessato, in caso di Violazione dei dati personali (Data Breach); obbligo di una valutazione del rischio e conseguente adozione di un sistema di sicurezza adeguato, efficiente e proporzionato; predisposizione di un “registro dei trattamenti”; adeguata formazione ed istruzione dei soggetti che lavorano o collaborano con la struttura che effettua il trattamento dei dati.

Come anticipato, il punto di forza di questo Regolamento è l’aver posto l’attenzione sui principi di diritto alla base di un corretto trattamento dei dati. Principio cardine è il cosiddetto principio di accountability che impone ai titolari del trattamento dei dati una comprovata gestione responsabile, che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la conformità del trattamento ai principi sanciti dal GDPR.

L’articolo 5 espone chiaramente tali principi: principio di liceità, correttezza a trasparenza: i dati devono essere trattati in modo lecito, ovvero raccolti e trattati in ossequio a quanto indicato nell’art. 6 del Regolamento (base giuridica del trattamento); devono essere trattati in modo corretto e trasparente, garantendo l’accesso ai dati personali e indicando in modo esplicito le finalità previste nell’informativa, obbligatoriamente somministrata; principio di finalità: i dati possono essere raccolti solo per finalità determinate, esplicite e legittime, utilizzando i dati raccolti solo in termini compatibili con tali scopi; principio di minimizzazione e proporzionalità: i dati raccolti devono essere adeguati, pertinenti e non eccedenti a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti; principio di limitazione della conservazione: i dati possono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui sono trattati; principio di integrità e riservatezza: devono essere messe in atto e garantite tutte le misure tecniche ed organizzative adeguate volte ad evitare trattamenti non autorizzati o illeciti e per evitare la perdita e la distruzione dei dati; principio di esattezza: i dati personali devono essere esatti e aggiornati.

Esaminati brevemente novità e principi ideati e formulati per un corretto operato del titolare, o del responsabile, del trattamento, occorre valutare l’ambito di applicazione del nuovo Regolamento.

Si distinguono un ambito di applicazione materiale e uno territoriale, rispettivamente indicati nell’art. 2 e nell’art. 3 del GDPR. In relazione al primo ambito, la nuova normativa si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Il Regolamento esclude dal proprio ambito di applicazione le seguenti operazioni: i trattamenti effettuati nell’esercizio di attività a carattere esclusivamente personale o domestico, i trattamenti effettuati dalle autorità preposte alla tutela della pubblica sicurezza nell’esercizio delle loro funzioni, nonché gli uffici, agenzie, istituzione e organi dell’Unione, ai quali si applica invece il regolamento 2001/45/CE, e infine i trattamenti aventi ad oggetto dati di persone defunte.

Per ciò che riguarda invece l’ambito di applicazione territoriale, il GDPR regola ogni trattamento effettuato da soggetti stabiliti nell’Unione, a prescindere dalla forma giuridica assunta dal titolare del trattamento e dal fatto che questo sia effettuato nell’Unione. Regola altresì il trattamento di dati di interessati che si trovano in Europa, effettuato però da soggetti non stabiliti nell’Unione, quando, specifica l’art. 2, il trattamento ha ad oggetto attività di: offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Questo il quadro in sintesi della nuova normativa sulla privacy.

3. Il Terzo Settore: le Organizzazioni di Volontariato

L’Istat, nel 2017, effettua il “Censimento permanente” (di durata triennale) sulle Organizzazioni no-profit, con riferimento ai dati raccolti nel 2015. Dall’analisi dei dati raccolti emerge che il Terzo Settore è in costante aumento: al 31 dicembre 2015 le istituzioni no-profit attive in Italia sono 336.275 e impiegano, complessivamente 5 milioni 529 mila volontari e 788 mila dipendenti. I principali settori di attività individuati da tale censimento in cui operano gli Enti del Terzo Settore sono i seguenti: cultura, sport e ricreazione; istruzione e ricerca; sanità; assistenza sociale e protezione civile; ambiente; sviluppo economico e coesione sociale; tutela dei diritti e attività politica; relazioni sindacali e rappresentanza di interessi.

Il 2017 è l’anno in cui entra in vigore anche il D.Lgs. n. 117/2017, anche noto come Codice del Terzo Settore, che definisce gli Enti del Terzo Settore (ETS) come “organizzazioni non commerciali o commerciali, costituite in associazione, comitato, fondazione o impresa che, perseguendo finalità civiche, solidaristiche e di utilità sociale, si caratterizzano per lo svolgimento in via esclusiva o principale di una o più attività di interesse generale e per l’assenza di scopo di lucro”. Un Ente del Terzo Settore può ottenere una qualifica specifica: Organizzazione di Volontariato, Associazione di Promozione Sociale, Impresa Sociale, Reti Associative, Società di Mutuo Soccorso, Ente Filantropico, Fondazioni.

In questa occasione, l’attenzione si concentrerà sulle Organizzazioni di Volontariato (ODV).

Le ODV sono enti, costituiti nella forma di associazione non riconosciuta o meno, che svolgono attività di interesse generale in favore di terzi, senza scopo di lucro, avvalendosi prevalentemente del volontariato dei propri associati. Possono avvalersi di lavoratori dipendenti o autonomi esclusivamente nei limiti del regolare funzionamento e il numero dei lavoratori non può superare il 50% del totale dei volontari.

Le amministrazioni pubbliche hanno la facoltà di sottoscrivere con le ODV, iscritte da almeno sei mesi nel registro unico nazionale del terzo settore, delle convenzioni finalizzate allo svolgimento di attività o servizi sociali di interesse generale, garantendo un rimborso delle spese effettivamente sostenute e documentate. Le ODV infine, oltre a poter usufruire di entrate, come quote associative o donazioni, possono svolgere attività commerciale, dotandosi di partita IVA.

Appare pertanto evidente come le organizzazioni di volontariato, sebbene non percepite nell’immaginario collettivo come delle “imprese” vere e proprie, abbiano molteplici contatti con persone terze all’associazione e immagazzinano, per lo svolgimento delle loro attività istituzionali, un’importante mole di dati personali.

I soci, i volontari, i lavoratori ed i beneficiari dei servizi “cedono” i dati personali all’organizzazione di riferimento e rientrano perciò nella categoria di soggetti interessati ad un trattamento dei dati nel rispetto del nuovo Regolamento 2016/679.

Nel paragrafo seguente, indicheremo i principali obblighi posti a carico dell’ODV.

4. Le ODV e la nuova normativa sulla privacy

Il GDPR non contiene alcuna esenzione per gli Enti del Terzo Settore, pertanto anche le ODV devono adeguarsi alla nuova normativa, poiché il mancato rispetto degli adempimenti comporterà l’irrogazione di sanzioni amministrative, penali e civili.

Innanzitutto l’Ente dovrà dotarsi di un’informativa sulla privacy (art. 13 GDPR) comprensibile, completa e trasparente, contenente l’individuazione del titolare del trattamento e dell’eventuale responsabile, i contatti dell’ente, le finalità statutarie dell’ente, le modalità informatiche e/o cartacee di conservazione dei dati, l’indicazione dei diritti degli interessati (accesso, rettifica, cancellazione, opposizione e limitazione al trattamento), la durata della conservazione e le modalità di elaborazione, comunicazione e diffusione. L’informativa dovrà essere consegnata a tutti i soggetti di cui l’ODV acquisisce, conserva e utilizza dati personali.

Il titolare del trattamento per le ODV è da individuare nella persona giuridica dell’Ente stesso, tuttavia le decisioni sui trattamenti da svolgere saranno di competenza dell’organo o delle persone fisiche cui è attribuita la gestione dell’Ente. La figura del responsabile del trattamento, o Data Processor, è individuata dal titolare del trattamento, agisce sulla base delle indicazioni da quest’ultimo fornite e assicura la corretta applicazione delle norme sulla privacy. Infine, in una ODV, i volontari o i lavoratori possono essere qualificati come incaricati, ossia soggetti formati, istruiti ed autorizzati, dal titolare o dal responsabile, al trattamento dei dati.

All’informativa va accompagnata la richiesta di consenso al trattamento dei dati.

Occorre preliminarmente effettuare un breve focus sulla liceità del trattamento, ai sensi dell’art. 6 GDPR. La base giuridica per un trattamento lecito, in base all’articolo citato, è individuata in: consenso espresso, esecuzione di un contratto, adempimento di un obbligo legale cui è soggetto il titolare del trattamento, interessi vitali della persona interessata o terzi, legittimo interesse prevalente del titolare o di terzi, interesse pubblico o esercizio di pubblici poteri.

La base giuridica deve essere correttamente indicata e riportata nell’informativa.

Se la base giuridica scelta è il consenso, questo dovrà rispettare le condizioni prescritte dall’art. 7 del Regolamento. Dovrà pertanto essere espresso, libero, specifico (riferito ad una o più finalità specifiche), informato e sempre revocabile. Il titolare del trattamento dovrà, in ossequio al già citato principio dell’accountability, essere in grado di dimostrare di averlo ottenuto.

Per ciò che riguarda le categorie particolari di dati personali, ossia quei dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, l’art. 9 del GDPR pone un divieto di trattamento, salvo che l’interessato presti il consenso esplicito oppure si riscontrino le condizioni indicate nel secondo paragrafo del medesimo articolo.

Le ODV molto spesso, per il tipo di lavoro svolto sul territorio, registrano dati particolari (si pensi all’associazione di volontariato che opera nel settore della sanità o delle organizzazioni che forniscono assistenza a richiedenti asilo). Il consenso, unitamente all’informativa, rappresenta dunque un doppio strumento di tutela e salvaguardia, sia per l’organizzazione che per gli interessati, nel rispetto dei diritti fondamentali e dei principi stabiliti dal GDPR.

Vi sono ulteriori adempimenti richiesti all’organizzazione: la disposizione di misure di sicurezza adeguate, sia fisiche che informatiche, l’adozione del registro dei trattamenti e la nomina di un DPO.

Per misure di sicurezza adeguate si intende ad esempio, se il trattamento avviene con mezzi elettronici, la creazione di un sistema di autenticazione e/o autorizzazione e la predisposizione di un sistema di protezione informatica e di backup. Se il trattamento è svolto tramite l’ausilio di mezzi cartacei, sarà opportuno predisporre idonei spazi per conservare i documenti contenti i dati personali, con un adeguato monitoraggio di eventuali accessi di terzi. Il tutto dovrà avvenire dopo un’adeguata formazione e istruzione degli incaricati. Nel caso in cui si verifichi un Data Breach (o violazione dei dati personali) il titolare del trattamento, anche nel caso di una ODV, dovrà seguire la procedura indicata nell’art. 33 GDPR, ossia la notifica al Garante per la protezione dei dati personali e la comunicazione della violazione agli interessati.

Per quello che attiene la disciplina del DPO (Data Protection Officer), per le ODV questa figura è obbligatoria soltanto quando queste compiano un monitoraggio su larga scala o quando il trattamento di dati sia svolto su larga scala e riguardi i trattamenti non occasionali di dati relativi a soggetti vulnerabili come, a titolo esemplificativo, disabili, minori, anziani, infermi di mente, richiedenti asilo. Non appare quindi ancora ben definito quando il DPO sia figura obbligatoria o meno, certamente più l’ODV ha dimensioni estese più è raccomandabile nominare un responsabile della protezione dei dati.

Analoghe argomentazioni possono essere sostenute per quanto riguarda l’adozione del registro del trattamento dei dati.

L’art. 30 del GDPR stabilisce che questo non è obbligatorio per gli enti “con meno di 250 dipendenti, a meno che il trattamento che […] effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

Le linee di esenzione tracciate dal menzionato articolo, creano incertezza nell’operato delle singole ODV. Risulta pertanto consigliabile predisporre questo ulteriore strumento, che da un lato mette a riparo da eventuali sanzioni per inadempimento, e dall’altro rappresenta un ottimo strumento di lavoro per avere una panoramica completa delle attività della singola Organizzazione.

Ultimo punto da esaminare è la presenza di autorizzazioni generali da parte del Garante per il trattamento degli ex dati sensibili.

Prima dell’entrata in vigore del GDPR, il Garante per la Privacy aveva emesso delle autorizzazioni generali al “trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni” (Autorizzazione n. 3 del 15.12.2016). Con il decreto di recepimento (D.Lgs. n.101/2018), il Garante ha stabilito la validità delle “prescrizioni contenute nelle autorizzazioni generali già adottate […] che risultano compatibili” con il GDPR, avviando una consultazione pubblica.

Tra le autorizzazioni ancora in vigore vi è la n. 3/2018, che il Garante ha aperto alla consultazione in ordine a diversi aspetti che tengano conto della riforma del Terzo Settore e l’introduzione del GDPR. Non si può pertanto stabilire con sicurezza che un’autorizzazione generale basti per registrare e trattare i dati personali, dovendo comunque adempiere a tutti gli obblighi previsti dalla nuova normativa sulla privacy.

5. Conclusioni

Il GDPR non prevede esenzioni o semplificazioni per gli enti del Terzo Settore, come le ODV.

Le piccole e le grandi Organizzazioni di volontariato dovranno adeguarsi alla nuova normativa, con consapevolezza e responsabilità, conoscenza e formazione, affiancando un sistema di misure di sicurezza adeguate per il raggiungimento dell’obiettivo principale: la tutela di diritti e libertà dei singoli interessati/individui.

Il GDPR non tutela il dato personale, ma il soggetto nella sua individualità.

Nel sistema del Terzo Settore, questa tutela diventa fondamentale: mettersi al servizio “dei terzi”, soprattutto a tutela delle fasce vulnerabili della società, deve altresì significare tutelarne la privacy.