Sommario:

1. Premessa - 2. ETS e trattamento dei dati personali - 3. Il Registro dei trattamenti e la nomina del d.p.o.: obbligo o facoltà per gli ETS? - 4. Data breach, policies e misure adeguate - 5. Registro Unico Nazionale del Terzo Settore e GDPR - NOTE

Com’è noto, il d.lgs. n. 117/2017, contenente il c.d. Codice del Terzo settore, ha operato una vera e propria opera di «istituzionalizzazione» [1], ancora in corso di attuazione [2] e finalizzata a riorganizzare il settore degli enti senza scopo di lucro [3], favorendone la gestione e migliorandone la trasparenza: un settore normativamente definito mediante un intreccio o combinazione di tre criteri e, precisamente, il perseguimento di finalità civiche, solidaristiche e di utilità sociale, lo svolgimento di attività riconosciute dal legislatore di interesse generale e, infine, una governance in grado di impedire la prevalenza di interessi prettamente privati su quelli di più ampio respiro. Trattasi di una riforma intervenuta, peraltro, in un momento caratterizzato e segnato da una trasformazione importante, quella della digitalizzazione. Sotto tale profilo, è la stessa riforma del terzo settore a richiedere agli enti non profit di inserirsi nel percorso di trasformazione digitale [4]: trasformazione finalizzata a colmare la carenza di una non immediata ed esponenzialmente incompleta disponibilità dei dati e ispirata a quella cultura dell’accountability [5] già da tempo invocata. L’obiettivo di trasparenza e di informazione mediante strumenti digitali nella gestione degli enti del terzo settore, infatti, permea in più punti la nuova normativa: basti pensare all’art. 14 che impone – ai Centri di servizio per il volontariato (Csv) e agli enti che abbiano ricavi, rendite, proventi o entrate superiori a centomila euro l’anno – l’obbligo di pubblicare online i bilanci sociali; o all’art. 41 che richiede alle reti associative l’utilizzo di strumenti (anche) informatici idonei a garantire conoscibilità e trasparenza in favore del pubblico e dei propri associati [6]. La “digitalizzazione”, poi, investe anche la raccolta fondi e le donazioni: e se il CTS disciplina tale aspetto all’art. 7, indicando ancora una volta il principio di «trasparenza e correttezza nei rapporti con i sostenitori e il pubblico», crescono modalità nuove, spesso veicolate proprio dal web, come il digital fundraising o crowdfunding (raccolta fondi digitale). Ma l’ambito nel quale il tema della trasparenza “digitale” presenta implicazioni sistematiche maggiormente [continua ..]

» Per l'intero contenuto effettuare il login inizio

Se l’art. 6 del GDPR delinea le basi giuridiche del trattamento, l’art. 9 integra e specifica tali basi nel caso in cui il trattamento abbia ad oggetto categorie “particolari” di dati personali, prevedendo specifiche prescrizioni, come quelle dettate – al terzo comma – per organismi di tipo associativo, fondazioni, o altro ente senza scopo di lucro che tratti dati c.d. “particolari”, o “sensibili” [9] secondo la vecchia etichetta: si pensi ai dati che rivelano le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, o in generale quelli relativi alla salute [10]. Più precisamente, l’art. 9 GDPR presenta una «struttura bifasica» [11], ponendo, da un lato, il divieto generale di trattare categorie “particolari” e individuando al tempo stesso, dall’altro, una serie di eccezioni a tale divieto: una delle deroghe al divieto generale di trattamento dei dati “particolari” è costituita proprio dall’ipotesi in cui il trattamento sia finalizzato al perseguimento di scopi determinati e legittimi, individuati nell’atto costitutivo, nello statuto o nel contratto collettivo della fondazione, dell’associazione o di altro organismo non profit. Alla luce dell’astratta meritevolezza delle finalità perseguite e delle funzioni svolte dagli enti del terzo settore, il legislatore ha quindi operato ex ante una valutazione di legittimità del trattamento dei dati “particolari” là dove associazioni, fondazioni e in generale enti del terzo settore perseguano, (anche) mediante il trattamento stesso, le loro finalità istituzionali, civiche, solidaristiche e di utilità sociale. In altri termini, trattasi di uno di quei casi in cui al consenso dell’interessato si sostituiscono, quali basi giuridiche per il trattamento delle categorie particolari di dati, esigenze diverse ritenute prevalenti rispetto alla posizione dell’interessato e, nella specie, rappresentate dallo svolgimento di attività da parte di enti senza finalità lucrativa per il perseguimento di scopi politici, filosofici, religiosi, culturali, socioassistenziali, umanistici. Gli organismi del terzo settore (associazioni non riconosciute, partiti, organizzazioni assistenziali e di volontariato, fondazioni) potranno quindi trattare i dati per così [continua ..]

» Per l'intero contenuto effettuare il login inizio

L’art. 30 GDPR, poi, prevede per alcuni titolari di trattamento l’obbligo di un Registro delle attività di trattamento: una sorta di “censimento dei trattamenti”, predisposto (anche) in formato elettronico, costantemente aggiornato e all’occorrenza esibito per controlli da parte dell’autorità competente, contenente varie informazioni sui trattamenti svolti, tra cui le generalità del titolare, le finalità del trattamento, le categorie di soggetti interessati (data subjects) e dei dati personali trattati, i destinatari della comunicazione dei dati, l’eventuale paese straniero o organizzazione internazionale a cui i dati vengono trasferiti, il momento della cancellazione dei dati e, se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. In un siffatto contesto, appare legittimo chiedersi se le ODV e, in generale, gli ETS siano o meno tenuti, in qualità di titolari del trattamento, alla redazione, tenuta e conservazione di tali Registri. Orbene, l’art. 30 GDPR stabilisce che siffatto obbligo non sussiste per gli enti «con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10». A tale stregua, saranno tenuti alla redazione del Registro gli ETS titolari di trattamento con 250 o più dipendenti [49]; quanto agli enti titolari con meno di 250 dipendenti, l’art. 30 GDPR contiene un’elencazione delle ipotesi di esenzione dall’obbligo, non del tutto chiara. In particolare, appare fondato ritenere che siano obbligati ex art. 30 GDPR gli enti titolari con meno di 250 dipendenti ma i cui trattamenti siano rischiosi per i diritti e le libertà degli interessati: ipotesi, questa, a sua volta assai estesa, perché il Considerando n. 75 del GDPR stabilisce che vi è rischio, ad esempio, quando il trattamento possa comportare discriminazioni o riguardi dati sanitari o “particolari”, o ancora se implichi una valutazione della persona o si riferisca a minori o, infine, coinvolga un numero elevato di interessati. Altrettanto dicasi per gli ETS con meno di 250 [continua ..]

» Per l'intero contenuto effettuare il login inizio

In forza ancora una volta del noto principio di accountability, gli ETS, in qualità di titolari di trattamento, dovranno garantire un’adeguata sicurezza e protezione dei dati personali, adottando policies e procedure idonee al caso concreto, tra le quali vi è sicuramente quella per la gestione di eventuali “data breach” [60]. Si tratta di una procedura volta a stabilire a priori come affrontare la malaugurata ipotesi di una violazione della sicurezza dei dati [61]: si pensi al caso in cui i dati trattati dall’ente del terzo settore, per errore umano o a seguito di un attacco informatico, vengano accidentalmente persi o comunicati a soggetti non autorizzati. L’ente del terzo settore dovrà quindi dimostrare di aver adottato e costantemente aggiornato tutte le misure tecniche e organizzative atte a garantire il raggiungimento di un livello di sicurezza adeguato ai rischi: il problema allora non attiene all’an bensì al quomodo della dimostrazione. Al riguardo, non v’è dubbio che qualunque trattamento informatico di dati non possa ormai prescindere dall’adozione di “misure minime”, da quelle fisiche e banali – quali la corretta conservazione dei documenti cartacei contenenti i dati – a quelle tecniche ed informatiche come password di accesso, sistemi antivirus e di backup, ecc. In generale, il GDPR riconosce e attribuisce al titolare del trattamento il potere di scegliere modalità e strumenti di attuazione delle prescrizioni europee a fronte dell’obbligo di dimostrarne l’adeguatezza rispetto al caso concreto. Pro e contro dunque: da un lato discrezionalità e diritto di scelta, dall’altro incertezza della “bontà” dell’operato e delle valutazioni effettuate fino all’eventuale esame da parte dell’autorità giudiziaria o amministrativa. L’accoun­tability segna quindi il passaggio da una tutela ex post dei dati, propria della disciplina previgente e operante in funzione rimediale sulle violazioni e sui relativi danni, ad una protezione ex ante o preventiva tipica del nuovo Regolamento e basata «sull’esame prudenziale di tutte le attività di trattamento» [62] sin dalla fase iniziale. Il parametro fondamentale che deve presiedere all’adempimento degli obblighi scaturenti dal Regolamento sembrerebbe, dunque, la diligenza del bonus [continua ..]

» Per l'intero contenuto effettuare il login inizio

Come già rilevato [76], le riflessioni sulla relazione tra digitalizzazione, protezione dei dati e terzo settore non possono concludersi senza volgere lo sguardo al Registro Unico Nazionale del Terzo Settore (RUNTS), non solo in quanto registro (per l’appunto) telematico [77], ma anche perché esso – finalizzato ad assicurare principalmente la piena trasparenza degli ETS, da un lato e l’acquisto della qualifica di ETS, dall’altro – solleva un duplice ordine di questioni relative, rispettivamente, all’operatività o meno del GDPR per il trattamento dei dati degli enti raccolti nel RUNTS e alla configurabilità dell’iscrizione nel Registro come pubblicità costitutiva della qualifica di ETS e dell’acquisto della personalità giuridica. Sotto il primo profilo, secondo il diritto dell’UE, le persone fisiche sono gli unici beneficiari delle norme sulla protezione dei dati. Il GDPR, infatti, definisce “dati personali” tutte quelle informazioni relative «a una persona fisica identificata o identificabile»: il che induce legittimamente a negare protezione ai dati personali di un ente o persona giuridica [78]. La protezione dei dati personali accordata dal GDPR appare cioè un diritto esclusivo delle persone fisiche, ma non di quelle giuridiche e, quindi, degli ETS: gli artt. 1 e 4 del Regolamento europeo [79] non sembrano lasciare spazio all’estensione della tutela agli enti, sicché i relativi dati – come il nome, la forma, la sede, i contatti – non ricevono protezione in base alla normativa europea. Altrettanto dicasi per il Considerando n. 14 [80], secondo cui «è opportuno che la protezione prevista dal […] regolamento si applichi alle persone fisiche […] Il […] regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche […] compresi il nome e la forma della persona giuridica e i suoi dati di contatto». A tale stregua, i dati degli ETS potranno essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica e, conseguentemente, senza che l’ente possa vantare alcun diritto sui propri dati. Ciò significa che l’ETS non potrà esercitare i diritti (di accesso, rettifica o cancellazione) previsti dal GDPR per gli interessati (persone fisiche) [continua ..]

» Per l'intero contenuto effettuare il login inizio

» Per l'intero contenuto effettuare il login inizio