CHI SIAMO ATTIVITà ISCRIZIONE CONI CIRCOLI AFFILIATI NOTIZIE SERVIZIO CIVILE NAZIONALE ASSICURAZIONE CONTATTI
 
 

TUTELA DATI PERSONALI, DAL 25 MAGGIO PROSSIMO ENTRA IN VIGORE LA NUOVA NORMATIVA CHE REGOLA LA PRIVACY IN AMBITO EUROPEO. FOCUS DI APPROFONDIMENTO SPECIFICO PER CHIARIRE TUTTI GLI ASPETTI.

15/05/2018

 

A seguito della pubblicazione della prima parte del nostro intervento sul “Regolamento europeo in materia di protezione dei dati personali” (GDPR), ci sono state rivolte molte domande.

Il quesito principale che ci è stato rivolto è se alla nuova normativa, che dovrà essere applicata in tutti i Paesi dell’Unione europea a decorrere dal prossimo 25 maggio, siano soggette anche le associazioni affiliate e i nostri comitati territoriali.

La risposta non può che essere affermativa, in quanto tali soggetti, non fosse altro, raccolgono e trattano i dati personali dei loro soci, e il GDPR si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Ci siamo poi soffermati, in modo particolare, sui contenuti dell’informativa da fornire agli interessati al trattamento, (per limitarsi al nostro caso, ai soci). A tale proposito, la domanda più ricorrente è stata se ai soci va sempre data l’informativa, e in che modo.

Anche in questo caso, la risposta non può che essere affermativa: è obbligatorio fornire sempre l’informativa, si consiglia di fornirla per scritto e di acquisire prova che essa è stata data (ad esempio, facendo firmare al socio la dichiarazione di aver ricevuto l’informativa).

Un altro quesito ricorrente è stato poi se è sufficiente fornire l’informativa, o se è necessario  acquisire anche il consenso esplicito degli stessi soci.

A tale proposito, per quanto riguarda il trattamento dei dati dei nostri soci, è sufficiente fornire la sola informativa quando non si trattano dati sensibili (come possono essere, ad esempio, quelli contenuti nei certificati medici dei soci sportivi) e se il trattamento è finalizzato all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (si pensi solo al rilascio della tessera associativa o all’obbligo statutario, per gli affiliati, di trasmettere all’AICS i dati di tutti i soci) oppure il trattamento è finalizzato all’assolvimento di un obbligo legale al quale è soggetto il titolare del trattamento (si pensi, per i soci sportivi, all’obbligo della stipula della polizza assicurativa, o a quello di trasmettere al CONI i dati dei soci che praticano attività sportiva nonché dei membri dei Consigli direttivi delle ASD/SSD) oppure il trattamento è effettuato nel legittimo interesse del titolare (si pensi alla necessità di comunicare le proprie iniziative, anche ai fini di marketing). Altrimenti, il consenso esplicito è obbligatorio.

Di norma, per quanto riguarda i rapporti con i nostri soci, dunque è sufficiente fornire la sola informativa, che deve avere i contenuti previsti dall’articolo 13 del GDPR; a tale proposito, gli uffici della Direzione nazionale stanno preparando un fac-simile di modello di informativa da fornire ai soci all’atto della richiesta di rilascio della tessera AICS. Ma gli obblighi, purtroppo, non si esauriscono qui, e non è certo semplice né possibile, per ognuno di essi, fornire dei modelli standard: la stessa natura del GDPR non lo consente, in quanto esso si basa sul principio di accountability. In altre parole (art.24), “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

Misure che possono essere naturalmente diverse da associazione ad associazione e che possono imporre anche l’adeguamento degli strumenti, hardware e software, utilizzati.

E’ opportuno pertanto esaminare in primo luogo quali sono le procedure generali che il titolare del trattamento (cioè la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali dei nostri soci, e che nel nostro caso, come detto, è il legale rappresentante dell’associazione o del comitato), deve adottare per mettere in atto tali misure tecniche e organizzative.

La prima misura organizzativa da attuare dipende dall’eventuale presenza o meno di un incaricato del trattamento dei dati per conto del titolare del trattamento.

E’ molto frequente infatti che non sia il presidente-legale rappresentante dell’associazione o del comitato, a raccogliere e trattare direttamente i dati. In questi casi ci troviamo di fronte ad un soggetto che il GDPR definisce responsabile del trattamento dei dati, data processor: esso è la persona fisica, o giuridica, che elabora i dati personali per conto del titolare del trattamento (art. 4 GDPR). 

Cosa deve fare in questi casi il titolare del trattamento, che rimane comunque, a sua volta, responsabile della gestione dei dati effettuata dal responsabile, dovendo garantire che le sue decisioni siano conformi alle leggi?  Egli (art. 28 del GDPR):

  • deve ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato;
  • deve formalizzare con il responsabile un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, stipulato in forma scritta, anche elettronica, che vincoli il responsabile del trattamento al titolare del trattamento.

Il responsabile del trattamento può a sua volta ricorrere a un sub responsabile: può farlo però solo previa autorizzazione scritta, specifica o generale, del titolare del trattamento.. Anche i rapporti tra responsabile e sub responsabile debbono essere disciplinati da uno specifico contratto. E’ il responsabile del trattamento che risponde, nei confronti del titolare, dell’inadempimento dei sub-responsabili, a meno che non riesca a dimostrare che il danno non è in alcun modo imputabile a lui.

Come scegliere il responsabile del trattamento? Egli può essere interno o esterno all’associazione e dovrà avere innanzitutto una competenza qualificata (ad esempio, frequentazione di corsi di aggiornamento), dovendo garantire una conoscenza approfondita della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal regolamento europeo. Inoltre dovrà garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali). Ovviamente dovrà disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia. Se è soggetto interno, le risorse saranno a carico del titolare.

Cosa deve prevedere il “contratto”? Sempre ai sensi dell’articolo 28 del GDPR, il contratto deve stipulare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. In particolare, deve poi prevedere che il responsabile del trattamento:

  1. a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
  2. b) garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. c) adotti tutte le misure richieste ai sensi dell’articolo 32 del GDPR (sicurezza del trattamento);
  4. d) rispetti le condizioni del GDPR per ricorrere a un altro responsabile del trattamento;
  5. e) assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del GDPR;
  6. f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  7. g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  8. h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Col contratto, in pratica, il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale, fornendogli tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi.

Il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del GDPR, e dovrà tenere, se istituito, il registro dei trattamenti svolti, argomento sul quale ci soffermeremo nel prossimo intervento, insieme con l’individuazione delle principali misure tecniche e organizzative da adottare per garantire un livello di sicurezza adeguato al rischio.

La Direzione Nazionale dedicherà alla materia uno specifico approfondimento nella giornata formativa prevista a Bologna il prossimo 26 maggio. L'Aics Asti, dal canto suo, ha inviato nella giornata odierna via e-mail a tutti i circoli e associazioni affiliati al nostro Comitato, un'informativa specifica e dettagliata sull'argomento, nell'intento di informare e sensibilizzare i soggetti interessati, alle modifiche che verranno introdotte a cui si andrà incontro e che saranno apportate, riguardo la trattazione dei dati dei singoli soci e iscritti e a cui saranno tenuti a dover osservare; tuttavia il Comitato, si impegna su questo importante e delicato tema nelle prossime settimane, a fornire maggior consulenza e tutte le informazioni utili, chiare e necessarie sull'argomento, a tutti i propri associati, in modo tale da adeguarsi nel miglior modo possibile alla novità normativa.

 

Photogallery

 

 

Torna indietro

 

 

 

 

 

 

AICS Nazionale

NewsLetter Aics Online

AICS Tesseramento

AICS Piemonte

Regione Piemonte

Provincia di Asti

Comune di Asti

CONI

CONI Asti

 

Ente di Promozione Sportiva riconosciuta dal CONI.

Fondata nel 1962. Ente con finalità assistenziali riconosciuta dal Ministero dell'Interno.

Ente di Promozione Sociale riconosciuta dal Ministero del Lavoro e delle Politiche Sociali Iscritta al Registro Nazionale delle Associazioni di Promozione Sociale al n. 38, ai sensi e per gli effetti della legge 7 dicembre 2000, n.383

INFORMATIVA SULLA PRIVACY - COOKIE POLICY