Se il 50% delle imprese è in ritardo nell’adeguamento al Regolamento europeo per il trattamento dei dati personali (GDPR o 2016/679) la percentuale fra le associazioni di volontariato e le realtà non profit sale probabilmente al 99,9%.
Purtroppo il GDPR non prevede nessuna esenzione per il terzo settore o non profit che dir si voglia. La normativa europea sulla privacy parla di “organizzazioni” e intende piccole e grandi, votate al profitto o a fini sociali, non importa.
Anzi possiamo dire che il GDPR colpisce soprattutto le realtà del volontariato.
Prima di tutto perché, a differenza delle imprese, queste trattano quasi esclusivamente dati di persone fisiche.
In secondo luogo perché queste organizzazioni hanno bisogno di lavorare con enti locali e amministrazioni pubbliche e presto queste realtà inizieranno a porre l’aderenza al GDPR fra i requisiti necessari per ogni finanziamento o convenzione o collaborazione (e avrebbero anche ben ragione di farlo).
In terzo luogo perché molte realtà non profit trattano i dati più sensibili legati alla salute, agli orientamenti politici, religiosi o filosofici per fare un esempio che sono particolarmente protetti dal Regolamenti europeo.
Terzo settore in campo
E allora? Suona la campana a morto per le attività del terzo settore? Si e no. Si, perché l’adesione al GDPR va presa sul serio e presto da queste organizzazioni. A ben vedere il GDPR non impone tanto di abbandonare certe prassi e intraprenderne di altre, quanto di definire e valutare i dati personali di cui l’organizzazione dispone, il modo in cui li ha acquisiti, il trattamento al quale li sottopone, i possibili rischi che questi dati corrono. Insomma si tratta soprattutto di documentare tutto.
Ci sono delle cose da cambiare, certo. Probabilmente tutti i momenti di interazione fra l’organizzazione non profit e il pubblico andranno ritoccati, alla voce modulistica cartacea e web.
Andranno rivisti gli accordi fra l’organizzazione e i Responsabili del trattamento. Occorrerà prevedere della formazione nei confronti delle persone che, anche a titolo volontario, operano nell’organizzazione.
Qualche dato dovrà essere cancellato, qualche consenso dovrà essere richiesto nuovamente (ma meno spesso di quel che si creda).
Il tutto andrà fatto a costo zero o quasi, si sa, perché le realtà del Terzo settore sono in larga maggioranza povere, anzi poverissime visto che investono in programmi di aiuto tutte le risorse che raccolgono.
Abbiamo trovato un manuale dedicato al tema GDPR nello specifico delle Associazioni del Volontariato è stato scritto non da un avvocato ma da un giornalista: Alberto Pattono che ha lavorato a lungo per le Associazioni di pazienti (è stato responsabile comunicazione di Diabete Italia) e pubblicato su Amazon. Si intitola GDPR. Lo stretto indispensabile per le Associazioni di Volontariato: Cosa devono davvero fare le realtà del no-profit per adeguarsi al Regolamento europeo per la privacy (RGDP 2016/679) e lo si scarica qui.
Si tratta di una guida molto concreta ricca di esempi pratici, concentrata sulle reali esigenze di una piccola o media realtà del Volontariato e termina con un test di autovalutazione.
