Il GDPR per le associazioni si applica esattamente come per qualsiasi impresa: non esiste alcuna esenzione per gli enti del Terzo Settore, ASD, APS o ODV. Anche una piccola associazione di volontariato che tiene un libro soci in Excel è un titolare del trattamento ai sensi dell’art. 4 del Regolamento (UE) 2016/679 e deve rispettare informativa, base giuridica, sicurezza e — nella pratica — un registro dei trattamenti. La buona notizia è che, con dati non particolarmente sensibili e volumi contenuti, la conformità è raggiungibile con pochi documenti ben fatti.
Questa guida è pensata per il volontario o il consigliere che gestisce la privacy senza un ufficio legale: cosa serve davvero, cosa si può semplificare e dove il Garante interviene più spesso.
Key Takeaways
- Nessuna esenzione: ogni associazione che tratta dati di soci, donatori o beneficiari è titolare del trattamento e applica il GDPR.
- Il libro soci si fonda sull’esecuzione del rapporto associativo (art. 6(1)(b)), non sul consenso: non serve chiedere il consenso per iscrivere un socio.
- Il consenso serve solo per usi ulteriori: newsletter, foto pubblicate sui social, comunicazioni promozionali di terzi.
- I dati dei minori nelle attività sportive ed educative vanno raccolti tramite chi esercita la responsabilità genitoriale.
- Anche sotto i 250 dipendenti, il registro dei trattamenti è di fatto obbligatorio perché i trattamenti sono regolari e riguardano categorie particolari.
Il GDPR non risparmia il Terzo Settore
Molti direttivi credono che il volontariato o l’assenza di scopo di lucro escludano l’applicazione della normativa. È un errore. L’art. 2 del Regolamento (UE) 2016/679 esclude solo il trattamento effettuato da una persona fisica per attività a carattere esclusivamente personale o domestico: un’associazione, per definizione, non rientra in questa ipotesi.
Le associazioni trattano tipicamente:
- dati anagrafici e di contatto dei soci (libro soci);
- dati dei donatori e dei sostenitori (incluso il 5x1000);
- dati dei beneficiari delle attività, spesso categorie particolari ex art. 9 (salute, condizione sociale, convinzioni);
- dati dei volontari, che nel trattamento assumono spesso il ruolo di soggetti autorizzati.
Ognuno di questi flussi richiede una base giuridica definita e va mappato. Per costruire quella mappa in modo ordinato conviene partire dal registro dei trattamenti con un modello pronto, che diventa il documento madre da cui discendono informative e misure.
Base giuridica: quando serve il consenso e quando no
Il punto più frainteso. Il consenso non è la base giuridica del libro soci: iscrivere una persona che ha chiesto di aderire è esecuzione di un contratto associativo (art. 6(1)(b) GDPR) o adempimento di obblighi statutari e civilistici. Chiedere il consenso in questi casi è sbagliato, perché lascerebbe intendere che il socio possa revocarlo mantenendo la qualifica.
| Trattamento | Base giuridica corretta | Consenso? |
|---|---|---|
| Iscrizione e gestione del libro soci | Art. 6(1)(b) — rapporto associativo | No |
| Obblighi fiscali e RUNTS | Art. 6(1)© — obbligo legale | No |
| Newsletter e comunicazioni istituzionali ai soci | Legittimo interesse o soft spam | Di norma no |
| Marketing di terzi / sponsor | Art. 6(1)(a) — consenso | Sì |
| Foto/video pubblicati su sito e social | Consenso (immagine) | Sì |
| Dati sanitari dei beneficiari | Art. 9(2) — es. lett. d) per ODV | Consenso esplicito o base specifica |
Il consenso all’uso dell’immagine merita attenzione: la pubblicazione di foto di eventi, gare o attività va gestita con un consenso separato e, per i minori, raccolto dai genitori. Per la formulazione corretta delle clausole si vedano gli esempi di consenso GDPR conformi al Garante.
L’art. 9 lett. d) del Regolamento offre una base preziosa per le organizzazioni senza scopo di lucro con finalità politiche, filosofiche, religiose o sindacali: possono trattare categorie particolari dei propri membri senza consenso, purché i dati non escano dall’organizzazione. È la disposizione su cui poggia gran parte dell’attività di ODV e APS.
Documenti minimi: cosa serve davvero
Il pacchetto di conformità di un’associazione ben gestita è snello ma non facoltativo:
- Informativa privacy per soci, donatori e beneficiari, consegnata al momento della raccolta dei dati ex art. 13. Un modello di informativa privacy adattabile copre la maggior parte delle esigenze.
- Registro dei trattamenti ex art. 30. La deroga per gli enti sotto i 250 dipendenti non si applica quando il trattamento è regolare o riguarda categorie particolari: entrambe le condizioni ricorrono quasi sempre. In pratica, tenetelo.
- Nomina dei volontari come soggetti autorizzati con istruzioni operative, secondo la logica della nomina degli autorizzati al trattamento.
- Contratti ex art. 28 con i fornitori esterni: piattaforma di email marketing, gestionale soci in cloud, commercialista. Ognuno va inquadrato come responsabile del trattamento, come spiega la nomina del responsabile ex art. 28.
- Politica di conservazione: i dati fiscali dei donatori seguono i termini civilistici (dieci anni per le scritture contabili), mentre i dati dei soci cessati vanno cancellati o ridotti secondo il principio di limitazione della conservazione.
Piattaforme come Legiscope permettono di generare informative, registro e nomine partendo da un questionario, riducendo il lavoro documentale per chi non ha competenze legali interne. Resta comunque essenziale che il consiglio direttivo comprenda i propri flussi di dati.
RUNTS, trasparenza e minimizzazione
L’iscrizione al Registro Unico Nazionale del Terzo Settore comporta obblighi di pubblicità (bilanci, cariche sociali) che vanno bilanciati con la minimizzazione dei dati (art. 5(1)© GDPR). La regola pratica: pubblicare solo ciò che la legge impone, non l’intera anagrafica. I dati dei semplici soci non vanno esposti online; le cariche sociali sì, nei limiti previsti.
Il DPO non è obbligatorio per la maggior parte delle piccole associazioni, salvo trattamenti su larga scala di categorie particolari (ad esempio grandi ODV sanitarie). Anche quando non è obbligatorio, individuare un referente privacy interno è buona prassi: gli obblighi e i compiti del DPO/RPD aiutano a capire quando la nomina diventa necessaria.
Le aree di rischio più frequenti
Il Garante interviene sul non-profit soprattutto quando l’attività associativa sconfina nel marketing o nella diffusione impropria di dati: invio di comunicazioni promozionali senza base giuridica, pubblicazione di elenchi di morosi o di beneficiari, uso della mailing list dei soci per finalità estranee allo scopo statutario. La cornice sanzionatoria è la stessa dell’art. 83 del Regolamento — fino a 20 milioni di euro o al 4% del fatturato — anche se per gli enti minori gli importi effettivi restano contenuti e proporzionati.
Il consiglio pratico è di trattare i dati dei sostenitori con la stessa disciplina di un’azienda: consenso granulare per il marketing, possibilità di opporsi in ogni comunicazione, cancellazione tempestiva su richiesta.
FAQ
Una piccola associazione di volontariato deve rispettare il GDPR?
Sì. Non esiste alcuna soglia dimensionale che escluda l’applicazione del Regolamento. Anche un’associazione con dieci soci è titolare del trattamento e deve avere informativa, base giuridica e misure di sicurezza adeguate. Cambiano la proporzione delle misure, non l’obbligo.
Serve il consenso dei soci per tenere il libro soci?
No. La tenuta del libro soci si fonda sull’esecuzione del rapporto associativo (art. 6(1)(b) GDPR) e su obblighi civilistici, non sul consenso. Il consenso serve solo per trattamenti ulteriori come newsletter promozionali, pubblicazione di foto o cessione dei dati a terzi.
Un’associazione deve tenere il registro dei trattamenti?
In pratica sì. La deroga per gli enti sotto i 250 dipendenti (art. 30(5)) non opera quando il trattamento è regolare o riguarda categorie particolari, condizioni che ricorrono nella quasi totalità delle associazioni. Tenere il registro è la scelta prudente e semplifica ogni futuro controllo.
Come vanno gestite le foto dei minori pubblicate sui social?
La pubblicazione di immagini di minori richiede il consenso di chi esercita la responsabilità genitoriale, raccolto in modo specifico e separato dall’iscrizione. Il consenso deve essere revocabile e va documentata la possibilità di negare la pubblicazione senza precludere la partecipazione all’attività.
Per approfondire l’ecosistema documentale e capire quale software può alleggerire la gestione, si veda la panoramica sul miglior software GDPR per le esigenze reali. Enti che gestiscono minori o spazi condivisi trovano indicazioni affini nelle guide al GDPR per le scuole e alla privacy in condominio.
Fonti ufficiali: Garante per la protezione dei dati personali · Regolamento (UE) 2016/679 su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial