Buongiorno,
avrei necessità di un parere sull'applicabilità o meno di GDPR e, se sì, a che livello, relativamente ad un sito privato che gestisco.

La situazione è la seguente:

Sto sviluppando un portale online dedicato al coro della mia parrocchia. Su questo portale, ogni cantore avrà accesso al sito ove troverà gli spartiti e gli mp3 di tutti i canti in archivio, la programmazione per tutte le celebrazioni, la possibilità di votare brani nuovi da inserire a repertorio e, limitatamente agli amministratori, la possibilità di inviare comunicazioni ai cantori, inclusa la programmazione settimanale.

Il sito è completamente riservato e, ad un non iscritto non espone assolutamente nulla (.htaccess).

Non è prevista una "registrazione", nel senso che gli utenti abilitati vengono inseriti manualmente dai responsabili del gruppo dopo che il cantore li ha forniti via sms o whatsapp.

Esiste un database utenti che include al proprio interno username, password, nome, cognome, cellulare, email, whatsapp e telegram di ogni singolo cantore.

Ovviamente nessuno ha mai firmato o accettato nulla, precedentemente le comunicazioni avvenivano via email (date dai cantori ai responsabili).

La domanda è quindi:
Come ci si deve comportare in questo caso? Vale il GDPR? (l'impressione è che venendo comunque immagazzinati dei dati su un server ed essendo lo stesso comunque a rischio hacker, la risposta sia sì).
Se sì, una volta che l'utente entra devo fargli accettare l'immagazzinamento dei dati (che comunque già avevamo in precedenza)?
E per l'invio delle comunicazioni, devo inserire una accettazione a parte come se fosse una newsletter? (accettazione che già avevamo prima dato che le mail sono sempre state inviate, anche se non con quel sistema)

Ringrazio tutti.