A seguito della pubblicazione del “Regolamento europeo in materia di protezione dei dati personali” (GDPR), molti sono i dubbi a riguardo.
Il quesito principale è se alla nuova normativa, che dovrà essere applicata in tutti i Paesi dell’Unione europea a decorrere dal prossimo 25 maggio, siano soggette anche le associazioni affiliate e i nostri comitati territoriali.
La risposta non può che essere affermativa, in quanto tali soggetti, non fosse altro, raccolgono e trattano i dati personali dei loro soci, e il GDPR si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
Altro quesito: ai soci va sempre data l’informativa, e in che modo?.
Anche in questo caso, la risposta non può che essere affermativa: è obbligatorio fornire sempre l’informativa, si consiglia di fornirla per scritto e di acquisire prova che essa è stata data (ad esempio, facendo firmare al socio la dichiarazione di aver ricevuto l’informativa).
Un altro quesito ricorrente è stato poi se è sufficiente fornire l’informativa, o se è necessario acquisire anche il consenso esplicito degli stessi soci.
A tale proposito, per quanto riguarda il trattamento dei dati dei nostri soci, è sufficiente fornire la sola informativa quando non si trattano dati sensibili (come possono essere, ad esempio, quelli contenuti nei certificati medici dei soci sportivi) e se il trattamento è finalizzato all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (si pensi solo al rilascio della tessera associativa o all’obbligo statutario, per gli affiliati, di trasmettere all’AICS i dati di tutti i soci) oppure il trattamento è finalizzato all’assolvimento di un obbligo legale al quale è soggetto il titolare del trattamento (si pensi, per i soci sportivi, all’obbligo della stipula della polizza assicurativa, o a quello di trasmettere al CONI i dati dei soci che praticano attività sportiva nonché dei membri dei Consigli direttivi delle ASD/SSD) oppure il trattamento è effettuato nel legittimo interesse del titolare (si pensi alla necessità di comunicare le proprie iniziative, anche ai fini di marketing). Altrimenti, il consenso esplicito è obbligatorio.
Di norma, per quanto riguarda i rapporti con i nostri soci, dunque è sufficiente fornire la sola informativa, che deve avere i contenuti previsti dall’articolo 13 del GDPR; a tale proposito, gli uffici della Direzione nazionale stanno preparando un fac-simile di modello di informativa da fornire ai soci all’atto della richiesta di rilascio della tessera AICS.
Ma gli obblighi, purtroppo, non si esauriscono qui, e non è certo semplice né possibile, per ognuno di essi, fornire dei modelli standard: la stessa natura del GDPR non lo consente, in quanto esso si basa sul principio di accountability. In altre parole (art.24), “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Ma gli obblighi, purtroppo, non si esauriscono qui, e non è certo semplice né possibile, per ognuno di essi, fornire dei modelli standard: la stessa natura del GDPR non lo consente, in quanto esso si basa sul principio di accountability. In altre parole (art.24), “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Misure che possono essere naturalmente diverse da associazione ad associazione e che possono imporre anche l’adeguamento degli strumenti, hardware e software, utilizzati.
E’ opportuno pertanto esaminare in primo luogo quali sono le procedure generali che il titolare del trattamento (cioè la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali dei nostri soci, e che nelnostro caso, come detto, è il legale rappresentante dell’associazione o del comitato), deve adottare per mettere in atto tali misure tecniche e organizzative.
La prima misura organizzativa da attuare dipende dall’eventuale presenza o meno di un incaricato del trattamento dei dati per conto del titolare del trattamento.
Tratto da “AICS LEGGI&FISCONLINE”, a cura di di Pier Luigi Ferrenti, responsabile nazionale Organizzazione
