L’informativa privacy di un’associazione è il documento, previsto dal GDPR, che spiega in modo chiaro e trasparente come l’ente raccoglie, utilizza, conserva e protegge i dati personali di soci, volontari, donatori e partecipanti. Indica chi è il titolare e i suoi contatti, le finalità e le basi giuridiche del trattamento, i tempi di conservazione, eventuali comunicazioni o trasferimenti dei dati e i diritti delle persone su tali dati e come esercitarli. Serve a garantire conformità alla legge, tutelare gli interessati e rafforzare la fiducia nelle attività dell’associazione.
Come scrivere Informativa privacy associazione
Un’informativa privacy per un’associazione deve innanzitutto identificare in modo preciso il titolare del trattamento, indicando denominazione, sede, codice fiscale/partita IVA e i recapiti utili per l’esercizio dei diritti privacy, come un indirizzo email dedicato o una PEC. Se l’associazione ha nominato un responsabile della protezione dei dati, occorre riportarne i dati di contatto. È indispensabile chiarire fin da subito quando e come i dati vengono raccolti, specificando se ciò avviene durante l’adesione come socio, in occasione di eventi, attività formative o sportive, campagne di raccolta fondi, donazioni, iscrizione a newsletter, utilizzo del sito web o interazioni sui canali social e, quando i dati non provengono direttamente dall’interessato, indicare le fonti e le categorie di dati ottenuti da terzi.
La descrizione dei dati trattati deve essere puntuale e comprensibile, includendo dati identificativi e di contatto, informazioni economiche e di pagamento per quote associative e donazioni, dati fiscali per adempimenti di legge, immagini e riprese audiovisive realizzate durante gli eventi, nonché eventuali categorie particolari di dati se pertinenti alle finalità associative, come convinzioni religiose, filosofiche o appartenenze sindacali e politiche, o dati sanitari per la gestione di idoneità e necessità di supporto in attività specifiche. Per queste categorie particolari è necessario spiegare su quale deroga si fonda il trattamento, ad esempio l’articolo 9, paragrafo 2, lettera d) del GDPR per gli enti senza scopo di lucro che operano nell’ambito delle proprie finalità nei confronti di soci, ex soci o persone in contatto regolare, assicurando adeguate garanzie e senza comunicazioni verso l’esterno senza consenso, oppure il consenso esplicito quando tale deroga non è applicabile.
Le finalità del trattamento vanno esposte in modo distinto e accostate alla relativa base giuridica. Tipicamente rientrano la gestione del rapporto associativo e delle attività istituzionali, l’esecuzione delle richieste degli interessati, l’adempimento di obblighi legali e contabili, la tutela in sede giudiziaria, la gestione di donazioni e del cinque per mille, la gestione di eventi e corsi, la comunicazione istituzionale e, se previsto, l’invio di newsletter o comunicazioni promozionali e di fundraising. Per ogni finalità è necessario indicare se il trattamento si fonda sull’esecuzione di un contratto o di misure precontrattuali, sull’adempimento di obblighi di legge, sul legittimo interesse debitamente bilanciato o sul consenso, chiarendo quando il conferimento dei dati è obbligatorio o facoltativo e quali sono le conseguenze del rifiuto. Per le attività di comunicazione e raccolta fondi è opportuno spiegare l’impostazione scelta: consenso preventivo, legittimo interesse con diritto di opposizione in qualsiasi momento, criteri di “soft opt-in” quando applicabili e nel rispetto delle indicazioni del Garante.
Devono essere chiariti i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, come consulenti contabili e legali, istituti bancari e di pagamento, piattaforme di gestione donazioni e ticketing, provider di servizi IT, hosting e newsletter, assicurazioni, enti pubblici e autorità competenti, specificando il ruolo di responsabili del trattamento quando trattano dati per conto dell’associazione sulla base di contratti conformi all’articolo 28 del GDPR. È importante dichiarare se esistono contitolari o responsabilità congiunte, ad esempio per pagine social o iniziative comuni con altre organizzazioni, fornendo un rinvio all’accordo essenziale sulla ripartizione delle responsabilità. Se i dati vengono trasferiti verso paesi extra SEE, l’informativa deve indicare i paesi interessati, la base di legittimazione del trasferimento come decisioni di adeguatezza o clausole contrattuali standard e le modalità per ottenere copia delle garanzie.
I tempi di conservazione vanno descritti con criteri chiari e comprensibili, legando ciascuna categoria di dati e finalità al relativo periodo, oppure ai criteri per determinarlo. In via esemplificativa, i dati amministrativo-contabili si conservano per i termini di legge, tipicamente dieci anni; i dati relativi alla gestione del rapporto associativo per la durata della qualità di socio e per il tempo necessario alla difesa di diritti; i consensi e le preferenze per newsletter fino a revoca; i dati relativi a eventi, iscrizioni e idoneità per il tempo strettamente necessario all’organizzazione e alla copertura assicurativa; le immagini e i contenuti multimediali per un arco temporale coerente con le finalità di documentazione e comunicazione, indicando politiche di archiviazione o anonimizzazione. Quando non sia possibile indicare un termine fisso, occorre spiegare il criterio utilizzato.
L’informativa deve illustrare i diritti riconosciuti agli interessati dal GDPR, in particolare accesso, rettifica, cancellazione, limitazione, portabilità quando applicabile, opposizione per motivi legati alla situazione particolare e in ogni momento per finalità di marketing o fundraising, e la possibilità di revocare il consenso senza pregiudicare la liceità del trattamento antecedente alla revoca. Deve essere spiegato come esercitare tali diritti e in quali tempi l’associazione risponderà, oltre al diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali con i relativi recapiti. Se l’associazione adotta processi decisionali automatizzati o svolge profilazione, ad esempio segmentazione dei donatori o dei soci per interessi e frequenza di partecipazione, occorre dichiararlo, descrivere la logica utilizzata, l’importanza e le conseguenze previste per l’interessato, nonché il diritto a ottenere intervento umano, esprimere la propria opinione e contestare la decisione quando ricorrano le condizioni dell’articolo 22.
È utile descrivere con linguaggio semplice le misure di sicurezza organizzative e tecniche adottate per proteggere i dati, come controlli di accesso, cifratura, pseudonimizzazione, procedure di minimizzazione e formazione del personale volontario, senza rivelare dettagli che possano compromettere la sicurezza. Quando si trattano dati di minori, va indicata l’età minima per il consenso in Italia e l’esigenza di autorizzazione da parte del titolare della responsabilità genitoriale per i servizi della società dell’informazione, con accorgimenti specifici nei moduli di iscrizione a corsi ed eventi. Se sono previste riprese e fotografie durante le attività, l’informativa deve chiarire su quale base giuridica si fonda l’uso delle immagini per documentazione e comunicazione, offrire modalità semplici di opposizione o aree riservate prive di riprese quando praticabile e distinguere l’uso interno da quello promozionale che richiede, di norma, un consenso dedicato.
Per la presenza online è necessario indicare che il sito e le newsletter utilizzano cookie e tecnologie simili e rinviare a una cookie policy specifica che spieghi tipologie, finalità, terze parti coinvolte, tempi di conservazione e modalità di gestione delle preferenze, inclusi i pixel di tracciamento nelle email. È buona prassi informare l’utente anche del ruolo e delle responsabilità condivise con i gestori delle piattaforme social utilizzate dall’associazione. L’informativa deve spiegare se esistono obblighi legali o contrattuali che impongono il conferimento dei dati e le conseguenze del mancato conferimento, distinguendo tra dati necessari per diventare socio o partecipare a un’attività e dati facoltativi. Dove appropriato, è opportuno indicare se verranno effettuate comunicazioni o diffusione pubblica dei dati, chiarendo che gli elenchi dei soci non sono resi pubblici salvo obblighi normativi o esplicito consenso.
Infine, l’associazione dovrebbe specificare come e quando l’informativa può essere aggiornata, la data dell’ultimo aggiornamento e, se si trattano dati per finalità ulteriori rispetto a quelle per cui sono stati raccolti, come verranno informate le persone interessate. La chiarezza, la trasparenza e la pertinenza delle informazioni rispetto al contesto associativo sono fondamentali per adempiere agli articoli 13 e 14 del GDPR e per instaurare un rapporto di fiducia con soci, volontari, donatori, partecipanti ed altri interlocutori.
Esempio Informativa privacy associazione
Titolare del trattamento
– Denominazione/Ragione sociale: _______________
– Sede legale: _______________
– Codice fiscale/Partita IVA: _______________
– Rappresentante legale: _______________
– Email: _______________
– PEC: _______________
– Telefono: _______________
– Sito web: _______________
Responsabile della Protezione dei Dati (DPO) [se nominato]
– Nome e contatti: _______________
Categorie di interessati
– Soci e aspiranti soci
– Tesserati, volontari, collaboratori e membri degli organi sociali
– Donatori/sostenitori e partecipanti ad attività, corsi ed eventi
– Referenti di fornitori/partner
– Utenti del sito web e dei canali social
Categorie di dati trattati
– Dati anagrafici e di contatto (nome, cognome, indirizzo, email, telefono): _______________
– Dati associativi (numero tessera, qualifica, cariche, adesioni): _______________
– Dati fiscali e di pagamento (IBAN, estremi di pagamento/fatturazione): _______________
– Dati relativi alla partecipazione ad attività/eventi (presenze, quote versate, certificazioni richieste): _______________
– Dati particolari, ove pertinenti e nel rispetto delle condizioni di legge:
– appartenenza associativa e convinzioni che possano essere desunte dall’adesione: _______________
– idoneità sportiva e/o dati sanitari necessari per attività specifiche: _______________
– Immagini, foto e video realizzati durante attività/eventi: _______________
– Dati di navigazione e cookie (si veda informativa cookie): _______________
Finalità e basi giuridiche del trattamento
– Gestione del rapporto associativo (domande di ammissione, tenuta registri soci, convocazioni, tesseramento, rilascio attestazioni): esecuzione di misure precontrattuali/contratto (art. 6.1.b); per dati particolari, finalità legittime dell’associazione con adeguate garanzie (art. 9.2.d).
– Adempimenti statutari e organizzativi (convocazioni, votazioni, cariche sociali, affiliazioni a enti/organismi): art. 6.1.b e/o legittimo interesse (art. 6.1.f); art. 9.2.d per dati particolari.
– Adempimenti di legge e regolamentari (contabilità e fiscalità, assicurazioni obbligatorie, obblighi sportivi/regolamenti federali): obbligo legale (art. 6.1.c); per idoneità/certificazioni sanitarie ove richieste, basi applicabili (art. 9.2.h e/o 9.2.a con consenso esplicito).
– Gestione donazioni, 5×1000, erogazioni liberali e rendicontazione: art. 6.1.c e 6.1.f.
– Comunicazioni istituzionali e operative relative alle attività associative (informazioni di servizio, scadenze, eventi sociali): art. 6.1.b e/o legittimo interesse (art. 6.1.f).
– Invio di newsletter promozionali, campagne di fundraising e comunicazioni non strettamente istituzionali: consenso (art. 6.1.a), revocabile in ogni momento.
– Pubblicazione e diffusione di immagini/foto/video per finalità di documentazione e comunicazione dell’attività associativa: consenso (art. 6.1.a; per dati particolari art. 9.2.a).
– Tutela dei diritti in sede giudiziaria e gestione del contenzioso, prevenzione abusi e sicurezza delle sedi/sistemi: legittimo interesse (art. 6.1.f).
Conferimento dei dati
– Il conferimento dei dati contrassegnati come necessari è obbligatorio/indispensabile per l’instaurazione e la gestione del rapporto associativo e per gli adempimenti di legge; il mancato conferimento comporterà l’impossibilità di dar seguito alla richiesta o di mantenere il rapporto.
– Il conferimento per finalità basate sul consenso è facoltativo; il mancato consenso non pregiudica le altre finalità.
Destinatari o categorie di destinatari
– Persone autorizzate al trattamento, volontari e organi sociali, nei limiti delle rispettive funzioni
– Consulenti e professionisti (amministrativi, legali, fiscali, consulenti del lavoro): _______________
– Compagnie assicurative e broker: _______________
– Enti di affiliazione, federazioni, EPS/organismi sportivi: _______________
– Istituti di credito e fornitori di servizi di pagamento: _______________
– Fornitori IT, cloud, servizi di gestione associativa, newsletter e comunicazioni: _______________
– Partner/co-organizzatori di eventi e attività: _______________
– Pubbliche autorità ed enti competenti, quando previsto dalla legge
– Ulteriori responsabili del trattamento nominati ai sensi dell’art. 28 GDPR: _______________
Trasferimenti verso paesi extra UE/SEE
– Eventuali trasferimenti verso paesi non appartenenti all’UE/SEE avverranno nel rispetto del Capo V del GDPR, sulla base di decisioni di adeguatezza, Clausole Contrattuali Standard o altre garanzie adeguate: _______________
– Informazioni sui trasferimenti e copia delle garanzie sono disponibili su richiesta: _______________
Periodo di conservazione dei dati
– Dati del rapporto associativo e tesseramento: per la durata del rapporto e per ulteriori _______________ anni successivi per obblighi di legge e difesa in giudizio.
– Dati contabili, fiscali e documenti amministrativi: _______________ anni (salve diverse previsioni di legge).
– Dati relativi a donazioni/5×1000: _______________ anni.
– Dati sanitari/idoneità: per il tempo strettamente necessario a documentare l’idoneità e nel rispetto dei termini previsti dalla normativa applicabile: _______________.
– Immagini, foto e video: fino a revoca del consenso e, in assenza, per massimo _______________ anni.
– Dati per newsletter/comunicazioni promozionali: fino a revoca del consenso o per _______________ mesi di inattività.
– Candidature a volontariato/collaborazioni: _______________ mesi/anni.
Modalità del trattamento e sicurezza
– I dati sono trattati con strumenti cartacei e/o elettronici, secondo principi di liceità, correttezza, trasparenza e minimizzazione, con misure tecniche e organizzative adeguate a garantirne la sicurezza (controllo accessi, cifratura/pseudonimizzazione ove applicabile, backup, registri di trattamento, formazione del personale).
– I dati non sono oggetto di diffusione, salvo quanto eventualmente autorizzato o previsto da obblighi di legge.
Minori
– Per i minori di anni _______________ il trattamento avviene con il consenso o l’autorizzazione dell’esercente la responsabilità genitoriale: _______________.
Decisioni automatizzate e profilazione
– Non sono effettuate decisioni basate unicamente su trattamenti automatizzati né attività di profilazione che producano effetti giuridici sull’interessato o incidano significativamente su di lui: _______________.
Videosorveglianza [se presente]
– Presso le sedi possono essere operativi sistemi di videosorveglianza per finalità di sicurezza e tutela del patrimonio, sulla base del legittimo interesse. Informativa specifica e cartellonistica sono rese disponibili in loco: _______________.
Diritti dell’interessato
– Accesso, rettifica, aggiornamento e integrazione dei dati
– Cancellazione, limitazione del trattamento e opposizione, nei casi previsti
– Portabilità dei dati, nei limiti dell’art. 20 GDPR
– Revoca del consenso, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
– Proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)
Esercizio dei diritti e contatti
– Per esercitare i diritti o per informazioni sul trattamento: _______________ (email/PEC/indirizzo)
– DPO (se nominato): _______________
Cookie e canali online
– Per il trattamento dei dati di navigazione e dei cookie si rimanda alla cookie policy disponibile su: _______________
Aggiornamenti dell’informativa
– La presente informativa potrà essere soggetta a aggiornamenti. Data di aggiornamento: _______________