Trattamento di dati particolari negli enti del terzo settore: ecco tutte le prescrizioni del Garante della privacy, che sono state pubblicate sulla Gazzetta Ufficiale n. 176 del 29 giugno 2019.
Il Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali del 5 giugno 2019 riguarda misure di sicurezza, adempimenti e cautele concernenti il trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Aut. gen. 3/2016).
Indice degli argomenti
I soggetti coinvolti
Con il presente provvedimento il Garante ha dato piena attuazione all’art. 21 del decreto legislativo n. 101/2018 nell’individuazione delle prescrizioni contenute nelle Autorizzazioni Generali già adottate e che risultano compatibili con il Regolamento Ue 2016/679. Vengono definite le modalità di trattamento per gli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose. Il Provvedimento si applica alle seguenti categorie di soggetti:
- alle associazioni anche non riconosciute, ai partiti e ai movimenti politici, alle associazioni e alle organizzazioni sindacali e più in generale agli enti del Terzo Settore;
- alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità’ giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus);
- alle cooperative sociali e alle società’ di mutuo soccorso;
- agli istituti scolastici;
- alle chiese, associazioni o Comunità’ religiose.
In caso di collaborazione da parte di questi soggetti con altri organismi con scopo di lucro o con liberi professionisti per la fornitura di beni, prestazioni o servizi, gli stessi possono effettuare il trattamento dei dati in questione per le stesse finalità. Il trattamento può riguardare i dati particolari attinenti:
- agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalità perseguite, ai relativi familiari e conviventi;
- agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunità religiose;
- ai soggetti che ricoprono cariche sociali o onorifiche;
- ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi prestati dall’associazione o da enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunità religiose, limitatamente ai soggetti individuabili in base allo statuto o all’atto costitutivo;
- agli studenti iscritti o che hanno presentato domanda di iscrizione presso associazioni o comunità religiose e, qualora si tratti di minori, ai loro genitori o a chi ne esercita la potestà;
- ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l’adesione a sindacati, associazioni od organizzazioni a carattere sindacale e alle operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi anche aziendali.
Il trattamento dei dati particolari può essere effettuato per il perseguimento di scopi determinati e legittimi individuati dalla legge, dall’atto costitutivo, dallo statuto o dal contratto collettivo, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria e per l’esercizio del diritto di accesso ai dati e ai documenti amministrativi.
La comunicazione dei dati
Tra le prescrizioni specifiche vi è la comunicazione dei dati personali riferiti agli associati/aderenti ad altri associati/aderenti anche in senza il consenso degli interessati, solo se previsto dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e se le modalità di utilizzo dei dati siano rese note agli interessati in sede di rilascio dell’informativa ai sensi dell’art. 13 del regolamento UE 2016/679.
La comunicazione dei dati personali relativi agli associati/aderenti all’esterno dell’ente e la loro diffusione possono essere effettuate con il consenso degli interessati, previa informativa agli stessi in ordine alla tipologia di destinatari e alle finalità della trasmissione e purchè i dati siano strettamente pertinenti alle finalità ed agli scopi perseguiti.
In ogni caso, laddove vengano in considerazione profili esclusivamente personali riferiti agli associati/aderenti, deve essere preferita la comunicazione individuale al socio tenendo conto del rispetto dei principi di necessità, finalità e minimizzazione indicati nel Regolamento UE 2016/679.
La sanzione
La violazione delle prescrizioni contenute nel presente provvedimento comporta anche per gli enti del Terzo Settore l’applicazione della sanzione amministrativa di cui all’art. 83, co. 5 del Regolamento UE 2016/679.
L’art. 21 del D. Lgs. n. 101/2018, al comma 4, prevede che il provvedimento “de quo” produce i suoi effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui rispettivamente agli artt. 2-quater e 2-septies del D. Lgs. 196/2003.
Le prospettive future
Una normativa dunque in continua evoluzione soprattutto per gli enti del Terzo Settore e per gli organismi di piccole dimensioni che devono adeguarsi alla disciplina attuale e proteggere i dati in sicurezza sostenendo costi per loro accessibili ed evitare così le sanzioni (di grande entità) che sarebbero applicabili anche alle grandi aziende e alle Multinazionali.
A tal proposito l’Autorità Garante per la protezione dei dati personali italiana e l’Autorità per la Protezione Dati della Bulgaria, hanno avviato un’iniziativa molto interessante (SMEdata), in attuazione da settembre 2019, che si propone di offrire supporto a tutti questi enti ed ai professionisti impegnati nell’adeguamento così come tutti i soggetti che operano nella consulenza giuridica per superare gli ostacoli incontrati nel percorso necessario dedicato ai nuovi adempimenti privacy. L’iniziativa comprende seminari di formazione e convegni, uno strumento di autovalutazione di compliance alle regole privacy ed anche un’App gratuita per l’aggiornamento di imprenditori e consulenti.