Siamo una APS. Un’associazione di promozione sociale. Volontari, per lo più. Con un budget che dipende dalle quote associative, da qualche contributo e da tanta buona volontà.
E abbiamo un Privacy Manager.
Chi lo sa spesso ci chiede: “ma ne avete davvero bisogno?”
Sì. E proviamo a spiegare perché — non per noi, ma perché potrebbe essere utile a chiunque gestisca o supporti una realtà simile.
Il problema che nessuno vede finché non è tardi
Le associazioni trattano dati ogni giorno. Nomi, cognomi, indirizzi email, codici fiscali per le quote, IBAN per i rimborsi spese, a volte documenti d’identità, a volte dati di minori se si lavora con scuole o famiglie.
Questi dati finiscono — spesso senza una scelta consapevole — su Drive condivisi aperti a tutto il direttivo, in fogli Excel inviati via email, in gruppi WhatsApp, in cartelle chiamate “temporanee” che esistono da quattro anni.
Non perché ci sia malafede. Perché nessuno ha mai avuto il tempo, le competenze o il mandato formale per organizzarlo diversamente.
E quando arriva una richiesta di accesso ai dati, un controllo fiscale, o — nel caso peggiore — un incidente di sicurezza, la domanda più semplice diventa impossibile: quali dati abbiamo, dove sono, chi li vede, dove finiscono?
Non basta “fare attenzione”
Il GDPR si applica alle associazioni esattamente come si applica alle aziende. Non c’è una soglia sotto cui si è esentati. Non c’è una deroga per il volontariato.
La differenza è che un’azienda ha (o dovrebbe avere) qualcuno che se ne occupa. Un’associazione, molto spesso, no.
Il risultato è che la gestione dei dati viene delegata a chi “se ne intende un po’”: il tesoriere che usa Excel, il presidente che ha un account Google, il volontario IT che fa del suo meglio tra mille altri impegni.
Fare attenzione non è un metodo. È una speranza.
Una precisazione utile: non stiamo parlando del DPO, che il GDPR richiede solo in casi specifici che raramente riguardano una piccola APS — autorità pubbliche, trattamenti su larga scala, dati giudiziari. Il Privacy Manager è una figura interna nominata volontariamente. Una scelta, non un obbligo. E proprio per questo vale la pena raccontarla.
Perché noi lo abbiamo fatto
In S.I.E. avremmo potuto ragionare così: siamo piccoli, trattiamo pochi dati, il rischio è basso.
Invece abbiamo scelto di avere una figura dedicata — non perché la legge ci obbligasse formalmente, ma per due motivi precisi.
Il primo è coerenza. Se il nostro obiettivo è promuovere un uso etico e consapevole della tecnologia, non possiamo predicare bene e razzolare male. Inizia da come trattiamo i dati di chi si fida di noi: i soci, i contatti, chi partecipa ai nostri eventi.
Il secondo è protezione concreta. Avere qualcuno che sa dove sono i dati, chi li tratta, per quanto tempo, con quali strumenti — significa che se qualcosa va storto, sappiamo cosa è successo e possiamo rispondere in modo responsabile, non improvvisare. In pratica: abbiamo un registro dei trattamenti aggiornato, procedure chiare in caso di data breach (inclusa la notifica al Garante entro 72 ore quando serve), e una revisione annuale delle autorizzazioni di accesso. Non è burocrazia. È sapere cosa fare nel momento peggiore, invece di scoprirlo lì.
Cosa significa in pratica
Non stiamo parlando di un ruolo a tempo pieno né di un consulente esterno costoso. Stiamo parlando di una persona — interna o di fiducia — che:
-
sa dove sono i dati dell’associazione e in che forma,
-
verifica periodicamente che gli accessi siano appropriati (chi ha accesso a cosa, perché),
-
gestisce le richieste degli interessati (cancellazione, accesso, rettifica),
-
gestisce le violazioni dei dati: sa cosa fare, chi avvisare e in che tempi — non improvvisa nel momento peggiore,
-
coordina la risposta in caso di incidente, anche solo per sapere cosa comunicare e a chi,
-
mantiene aggiornata la documentazione minima richiesta dal GDPR.
Non è un ruolo tecnico nel senso stretto. È un ruolo di responsabilità e organizzazione. Può farlo un volontario formato, se ha il tempo e il mandato formale per farlo.
Un consiglio per chi gestisce o supporta un’associazione
Se sei il volontario IT della tua associazione — o se sei un professionista IT che dedica tempo a una realtà no-profit — probabilmente riconosci il problema. Sai già che i dati sono sparsi, che gli accessi non sono mai stati rivisti, che non esiste un registro dei trattamenti.
E sai anche che, da solo, non puoi risolvere tutto. Perché non è solo un problema tecnico. È un problema organizzativo, che richiede che qualcuno in associazione se ne faccia carico in modo stabile.
Il primo passo non è comprare software o assumere consulenti. È decidere che la gestione dei dati è una responsabilità dell’associazione, non del volontario più disponibile.
Da lì si costruisce tutto il resto.
In S.I.E. tra i temi che affrontiamo c’è anche questo: formare chi usa la tecnologia — nelle associazioni come nelle famiglie — a farne un uso consapevole e responsabile. Se vuoi approfondire o semplicemente confrontarti, sai dove trovarci.
