GDPR per Associazioni e Organizzazioni No Profit
Le associazioni trattano dati dei propri soci, donatori e beneficiari: obblighi semplificati ma non assenti, con attenzione alle categorie particolari.
Le associazioni, le fondazioni e le organizzazioni del terzo settore sono soggetti attivi nel trattamento di dati personali: gestiscono anagrafiche dei soci, dati dei donatori, informazioni dei beneficiari (spesso soggetti vulnerabili) e comunicano internamente ed esternamente tramite canali digitali. La convinzione diffusa che le organizzazioni no profit siano esenti dal GDPR è errata: il Regolamento si applica a qualunque soggetto che tratti dati personali.
Obblighi e adempimenti
Informativa ai soci e ai donatoriPrioritario
I soci devono ricevere un'informativa al momento dell'iscrizione. I donatori devono essere informati su come vengono trattati i loro dati (gestione delle donazioni, comunicazioni di ringraziamento, rendicontazione, eventuale uso per comunicazioni future).
Categorie particolari per associazioni di categoriaPrioritario
Le associazioni che raccolgono informazioni sull'orientamento politico, religioso o sindacale dei propri soci trattano categorie particolari. L'art. 9.2(d) GDPR prevede una deroga per le associazioni senza scopo di lucro che perseguono finalità politiche, filosofiche, religiose o sindacali, ma limitata ai propri membri e con divieto di comunicazione all'esterno senza consenso.
Conservazione dei dati degli ex soci
I dati degli ex soci possono essere conservati per il tempo necessario agli adempimenti fiscali e statutari. Non possono essere usati per comunicazioni di marketing o raccolta fondi senza consenso specifico.
Rischi specifici del settore
Invio di comunicazioni a ex soci senza consenso
Il Garante ha sanzionato associazioni e partiti politici per l'invio di comunicazioni a soggetti che avevano revocato il consenso o che non avevano mai prestato consenso al marketing.
Domande frequenti
Un'associazione di volontariato piccola è soggetta al GDPR?
Sì, se tratta dati personali. Non esistono soglie dimensionali che escludono l'applicazione del GDPR. Le esenzioni riguardano specifici adempimenti (es. registro dei trattamenti per organizzazioni con meno di 250 dipendenti se il trattamento non è rischioso), non l'applicabilità del Regolamento nel suo complesso.