Nessuna pace per gli Enti sportivi (Associazioni e Società) e, più in generale, per gli Enti del Terzo Settore (quando verrà) che, in tema di tutela del trattamento dei dati personali, si sono trovati di fronte un nuovo provvedimento del Garante della privacy, pubblicato in Gazzetta Ufficiale il 29 luglio scorso.
Racchiudendo principalmente disposizioni in tema di “trattamento di categorie particolari di dati”, il provvedimento n. 146 del 5 giugno 2019 si è occupato, nello specifico, delle corrette modalità di utilizzo e trattamento dei dati personali anche da parte di Associazioni, di Organizzazioni di Volontariato e Organismi del Terzo Settore, facendo seguito alle previsioni introdotte dal Regolamento Europeo 679 del 2016 (analizzato in origine QUI) e che abbiamo recentemente approfondito ulteriormente.
Quali sono le conseguenze del provvedimento n. 146 per Associazioni ed Enti del Terzo Settore?
Il testo individua le categorie di soggetti i cui “dati particolari” possono essere trattati all’interno della gestione di un ente associativo, indicando, tra gli altri interessati, gli associati e i soci, i sostenitori e i sottoscrittori, i titolari di cariche sociali e onorifiche, i beneficiari delle attività svolte dall’ente, gli studenti, distinti in maggiorenni e minori (in quest’ultimo caso anche i dati dei genitori e/o di chi ne fa le veci sarebbero coinvolti) ed i lavoratori dipendenti.
Vengono, poi, elencate le finalità: tra gli scopi per i quali possono essere utilizzati i dati attinenti alla persona, oltre a quelli culturali, religiosi e politici, trova esplicita collocazione anche il perseguimento di finalità sportive, sia di livello agonistico che dilettantistico, confermando l’obbligatorietà per Associazioni Sportive (ASD), Società Sportive Dilettantistiche (SSD) ed Enti del Terzo Settore (ETS) di conformarsi alle prescrizioni del Regolamento Europeo in materia di correttezza e riservatezza nel trattamento dei dati.
L’ultima parte delle disposizioni dedicate agli Enti Non Profit si occupa quindi delle prescrizioni specifiche, all’interno delle quali viene inserita la possibilità di prescindere dall’acquisizione del consenso espresso degli interessati qualora la comunicazione dei dati che li riguardano venga effettuata nei confronti di altri associati, e che tale possibilità sia prevista dall’ente all’interno dei propri atti costitutivi o statuti (opportunità invece non concessa qualora si tratti di informazioni indirizzate all’esterno e laddove emergano profili di carattere esclusivamente personale).
Il significato delle prescrizioni specifiche per Associazioni, SSD ed Enti del Terzo Settore
Alla luce del contenuto dell’ultima parte delle indicazioni fornite dal Garante per la tutela della privacy, l’inserimento di un’apposita disposizione all’interno degli statuti parrebbe ovviare alla necessità del previo consenso degli interessati per le comunicazioni tra soggetti appartenenti alla stessa organizzazione non commerciale.
Tuttavia, vista l’importanza (giustamente) riconosciuta ai “dati particolari” ed alla loro tutela, rafforzata dalla severità delle sanzioni previste, è davvero sufficiente immaginare una modifica degli statuti (per quanto all’ordine del giorno per i molti Enti interessati dal Codice del Terzo Settore, che ha prorogato al 30 giugno 2020 il termine per gli adeguamenti statutari) ai fini del rispetto del GDPR?
Per non parlare del fatto che le stesse disposizioni, per le trasmissioni di dati indirizzate all’esterno (persone giuridiche, liberi professionisti, enti di carattere commerciale) e per quelle attinenti a profili di carattere strettamente personale, richiedono un preciso, consapevole ed informato accordo sui contenuti, sulle modalità di impiego e sulle misure di sicurezza adottate. Siamo proprio sicuri che sarebbe così agevole distinguere i “profili esclusivamente personali” da quelli che legittimerebbero l’uso delle informazioni senza autorizzazione, vista l’estrema rilevanza degli interessi in gioco?
Viste le criticità e le conseguenze che ne potrebbero derivare, sarebbe dunque appropriato che ASD, SSD e ETS, qualora decidessero di inserire talune previsioni specifiche in tema di privacy nei loro statuti sociali in linea con le indicazioni del Garante, considerassero tale (eventuale) integrazione come un adempimento aggiuntivo e sicuramente non sufficiente a certificare il rispetto del GDPR privacy e delle norme che richiedono l’autorizzazione dei singoli per l’utilizzo dei “dati particolari” che li riguardano, in conformità allo spirito di adeguamento di tutto il provvedimento.
Questo approfondimento è stato realizzato in collaborazione con la Dott.ssa Mimma Sgrò.
Tutto Non Profit © riproduzione riservata
Per approfondire consultate i nostri E-Book, le Guide ed iscrivetevi alla newsletter (che tratta di temi fiscali, gestionali, amministrativi e giuridici per SSD, ASD, ETS, ODV ed APS). Account social: Facebook (Movida Studio), Twitter (Movida Studio), Instagram (Movida Studio), Linkedin (MOVIDA SRL) e YouTube (MOVIDA SRL).
Potrebbero anche interessarti:
GDPR PRIVACY (anche per Associazioni Non Profit e Società Sportive): ecco le novità. Con tanto di convegno gratuito!
Le Associazioni, gli ETS e le Società Sportive devono pagare il canone RAI per la TV? E per il computer? E per la radio?
Fatturazione elettronica e tutela della privacy sono conciliabili?
Circolare 18/E: adesione al regime 398/91 per Associazioni e Società Sportive, decadenza e conseguenze
Fattura elettronica per Associazioni, Enti del Terzo Settore e Società Sportive: guida aggiornata al 17.01.2019