Obblighi e sanzioni anche per gli enti del Terzo settore: gli enti no profit devono rispettare i principi del GDPR e orientarsi verso un percorso di adeguamento privacy

Il percorso di adeguamento al GDPR non deve essere vissuto come mero aggiornamento della documentazione e predisposizione delle ormai datate misure minime di sicurezza. Adeguarsi al GDPR per gli enti che trattano tanti dati, specie di tipo particolare, significa non solo evitare sanzioni ma salvaguardare il proprio patrimonio documentale.

Questo implica ovviamente proteggere gli interessati, spesso soggetti vulnerabili, dai rischi di perdita o diffusione dei loro dati ed evitare che un singolo episodio di data breach possa vanificare anni di attività. Avviare un percorso di adeguamento diventa quindi fondamentale.

Il Terzo Settore in Italia occupa uno spazio decisamente importante e in forte crescita: stando ai dati ISTAT nel 2015 (ultimo censimento utilizzabile) si contavano in Italia 336.000 istituzioni, 800.000 dipendenti, 5.5 milioni di volontari, per un totale d 6 milioni di set di dati personali riferiti a persone fisiche, solo considerando dipendenti e volontari. Quindi una mole di dati enorme.

Gli enti del terzo settore raccolgono ed elaborano numerosi dati personali relativi a persone fisiche per lo svolgimento delle proprie attività (dati dei soci, dei volontari, dei consulenti, dei fornitori) e spesso possono acquisire dati particolari (si pensi alle associazioni di pubblica assistenza o alle associazioni sportive dilettantistiche) per la realizzazione di scopi determinati e legittimi individuati dagli statuti o atti costitutivi.

Al Terzo Settore appartengono un universo frammentato e variegato di soggetti collettivi, tra cui rientrano: le O.N.G., le organizzazioni di volontariato, le cooperative sociali, le associazioni sportive dilettantistiche, le ONLUS, le fondazioni bancarie, le associazioni di promozione sociale, gli istituti di patronato e di assistenza sociale.

Informative privacy, lettere d’incarico per i soci, incarichi esterni di responsabilità, registro dei trattamenti, valutazione dei rischi, l’adozione delle misure tecniche e organizzative adeguate: sono solo alcuni degli obblighi posti dal GDPR. Da ultimo, con un recente provvedimento emanato nel mese di giugno del 2019, il Garante per la Privacy ha individuato ulteriori obblighi da rispettare, diversi rispetto al passato, soprattutto per il trattamento dei dati particolari (es. quelli relativi allo stato di salute)

Sottovalutare gli adempimenti richiesti dalla normativa in vigore non solo è sbagliato, ma pericoloso: le ispezioni e i controlli possono sorprendere chiunque. Per gli enti del terzo settore adeguarsi al GPDR non è solo un obbligo di legge, ma la presa di coscienza della responsabilità enorme che questi hanno nei confronti dei soggetti più deboli, nonchè dei gravi rischi che eventuali violazioni possono avere a livello di danni d’immagine e di perdite economico-finanziarie per gli enti stessi.