Obblighi in materia di privacy. Informativa e Consenso. 
Ai sensi del D.Lgs. n. 196/03 (“Codice” o “Testo Unico in materia di protezione dei dati personali”), le aziende che utilizzano o raccolgono o conservano ed in generale trattano “dati personali”, ovvero qualsiasi informazione riferibile a persone fisiche e/o giuridiche, sono “titolari del trattamento”, e:
- devono trattare i dati in modo lecito e secondo correttezza (cfr. art. 11 del Codice) e soprattutto tutelando la riservatezza della persona (socio, beneficiario/utente, collaboratore, ecc.) o dell’ente cui i dati si riferiscono;
- possono raccogliere, registrare ed utilizzare i dati solo per scopi determinati, espliciti e legittimi (principalmente, se non esclusivamente, gli scopi indicati nello statuto);
- devono fare in modo che i dati siano esatti, se necessario aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi della raccolta e devono conservarli per un periodo di tempo non superiore a quello necessario per il raggiungimento di tali scopi (salva la possibilità di conservarli per “fini
esclusivamente personali” in base all’art. 16 del Codice).
- devono notificare (e cioè comunicare in via informatica) al “Garante per la Protezione dei Dati Personali” l’esistenza di un trattamento solo gli enti non profit “a carattere politico, filosofico, religioso o sindacale” che trattano “dati idonei a rivelare la vita sessuale o la sfera psichica” (art. 37 del Codice).
- devono fornire all’interessato che conferisce i suoi dati (es. dati anagrafici al momento della richiesta di registrazione, informazioni sanitarie del beneficiario ecc.), l’informativa di cui all’art. 13 del Codice, e cioè una comunicazione orale o una lettera scritta (meglio se sottoscritta dall’interessato per accettazione) nella quale spiegano chi è il titolare, come si utilizzeranno i dati, a che scopo, a chi verranno comunicati, se verranno diffusi e altro ancora;
- devono assicurare a ogni interessato la possibilità di esercitare i diritti di cui all’art. 7 del Codice (tra cui il diritto di ottenere l'aggiornamento, la rettificazione, l'integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, e di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta). Sarà quindi opportuno incaricare all’interno dell’organizzazione una persona
(anche il Responsabile) che risponda alle eventuali richieste;
- possono nominare un “Responsabile del Trattamento”, che vigili sul rispetto della disciplina sulla privacy e sull’adozione delle “misure di sicurezza” informatiche e non.
- devono individuare tutti i soggetti (o le categorie di soggetti) che all’interno dell’organizzazione trattano i dati, e nominarli “incaricati del trattamento” (art. 30 del Codice) fornendo loro apposite istruzioni per i trattamenti cartacei ed informatici.
- devono chiedere il consenso all’interessato per il trattamento dei suoi dati personali comuni (art. 23 del Codice) e sensibili (art. 26 del Codice). La richiesta di consenso deve essere preceduta dall’informativa. In caso di dati comuni il consenso deve essere documentato per iscritto, in caso di dati sensibili deve essere manifestato in forma scritta (firma dell’interessato sul modulo)
- non devono chiedere il consenso ai loro aderenti o ai soggetti che hanno con l’organizzazione contatti regolari, sempre che il trattamento sia rispondente agli scopi statutari, i dati non vengano comunicati a terzi o diffusi e le modalità del trattamento vengano previamente decise dall’Odv (dal Consiglio Direttivo) e la relativa delibera sia richiamata nell’informativa;
- non devono chiedere il consenso nelle altre ipotesi indicate negli art. 24 e 26 del Codice (es. se il trattamento serve per adempiere agli obblighi assicurativi o previdenziali);
- non possono diffondere i dati sanitari (ovvero quei dati idone

Elaborazione stampati, procedure e DPS (Documento Programmatico per la Sicurezza)