Nel mondo del volontariato, la gestione dei dati personali è un aspetto spesso sottovalutato ma fondamentale. Gli enti del terzo settore, infatti, si trovano sempre più spesso a dover applicare le regole privacy del Regolamento (UE) 2016/679 (GDPR) anche alle attività svolte dai volontari. Ma quali sono gli obblighi e i rischi? E come organizzarsi in modo corretto? I volontari che prestano la loro attività trattano dati personali, devono rispettare il GDPR come qualsiasi dipendente o collaboratore in azienda o presso organizzazioni?

Chi è il volontario?

Secondo il Codice del Terzo Settore (d.lgs. 117/2017), il volontario è chi “per sua libera scelta, svolge attività in favore della comunità e del bene comune, anche per il tramite di un ente del Terzo settore, in modo personale, spontaneo e gratuito, senza fini di lucro, neanche indiretti, ed esclusivamente per fini di solidarietà”.

Opera solitamente all’interno di enti del terzo settore, offrendo tempo e competenze per solidarietà, ricevendo rimborsi solo per spese documentate.

Quali attività svolge il volontario

Il volontario rappresenta una risorsa fondamentale, in grado di garantire continuità e competenza grazie al suo impegno responsabile e allo spirito di collaborazione.

Dalla compagnia agli anziani al supporto alle persone con disabilità, fino alla gestione di mense solidali, le attività di volontariato si concentrano soprattutto nell’ambito sociale e assistenziale. Ma l’impegno dei volontari si estende anche ad altri settori, come quello ambientale, culturale e sanitario.

Proprio per la natura delle loro attività, i volontari possono trovarsi a gestire, direttamente o indirettamente, dati personali. In molti casi si tratta di informazioni particolarmente delicate, che richiedono attenzione e consapevolezza nella loro tutela.

Come disciplinare il rapporto dei volontari ai fini privacy

Domanda che mi viene spesso posta è come gestire il rapporto con i volontari ai fini privacy.

Regolare correttamente il rapporto tra volontari e trattamento dei dati personali non è solo un adempimento formale, ma un passaggio essenziale per garantire la tutela delle persone assistite e la conformità alle normative vigenti.

Il primo passo è definire in modo chiaro ruoli e responsabilità. Per questo è fondamentale fornire istruzioni precise su come raccogliere, utilizzare e proteggere le informazioni, nel rispetto della normativa sulla privacy, come previsto dall’art. 29 del Regolamento (UE) 2016/679 (GDPR). Questo significa limitare l’accesso alle sole informazioni necessarie e assicurare che ogni attività sia svolta nel rispetto dei principi di riservatezza, soprattutto quando si trattano categorie particolari di dati, come ad esempio quelli relativi a intolleranze o allergie.

Fondamentale è la partecipazione ad attività formative per aiutare a prevenire errori e comportamenti rischiosi.

Infine, stabilire accordi con le associazioni o procedure interne su come gestire i dati personali, definendo i limiti e le modalità del trattamento dei dati, in linea con il principio di “accountability” sancito dall’art. 5 del GDPR.

Esempio pratico

Ipotizziamo un volontario di un ente del terzo settore impegnato per un evento culturale, come una mostra o un festival. Tra le sue attività può esserci la gestione delle iscrizioni, la raccolta dei dati dei partecipanti o l’utilizzo di mailing list per inviare comunicazioni, registrazione al desk in ingresso e foto per documentare l’evento.

Anche in questo contesto, apparentemente meno delicato, entrano in gioco dati personali tutelati dal Regolamento (UE) 2016/679 (GDPR). Il volontario potrebbe, ad esempio, avere accesso a nomi, e-mail o numeri di telefono, foto o video dei partecipanti.

Per questo è fondamentale che l’organizzazione fornisca istruzioni precise. Se chiediamo di inviare comunicazioni via mail, dovrà utilizzare esclusivamente indirizzi e-mail in copia nascosta (BCC) per comunicazioni collettive, non condividere elenchi di contatti con soggetti esterni e non utilizzare i dati raccolti per finalità diverse da quelle previste.

Basta poco per commettere un errore: una e-mail inviata senza nascondere i destinatari può esporre dati personali e tradursi in una violazione della privacy, con ricadute sull’organizzazione.

Altro esempio nel settore sanitario.

Un Ente del terzo settore con un volontario impegnato nell’assistenza domiciliare agli anziani: durante le visite può venire a conoscenza di informazioni sulla salute, sulle condizioni economiche o sulla situazione familiare della persona assistita. Si tratta di dati personali, spesso appartenenti alle categorie particolari previste dal Regolamento (UE) 2016/679 (GDPR).

In questo caso, l’organizzazione deve aver fornito al volontario istruzioni chiare: ad esempio, non condividere informazioni con persone non autorizzate, non conservare appunti personali al di fuori dei canali ufficiali e utilizzare solo strumenti messi a disposizione dall’ente. Allo stesso tempo, il volontario deve essere consapevole del proprio ruolo e delle responsabilità connesse al trattamento dei dati.

Anche gesti all’apparenza innocui – come condividere informazioni con conoscenti o lasciare documenti incustoditi – possono tradursi in una violazione della privacy.

Errori da evitare

  • Condividere informazioni sugli assistiti o sui partecipanti con persone non autorizzate
  • Lasciare documenti contenenti dati personali incustoditi o accessibili ad altri
  • Utilizzare strumenti personali (email, app) non autorizzati dall’organizzazione
  • Parlare in contesti informali (amici, social, luoghi pubblici) di situazioni personali conosciute durante il servizio

La gestione dei volontari non riguarda solo l’organizzazione delle attività, ma anche la capacità di tutelare i dati personali con attenzione e responsabilità. Una corretta impostazione delle regole fa davvero la differenza.

Come affronta la gestione dei volontari il tuo Ente? Richiedi una consulenza privacy