“Regolamento europeo in materia di protezione dei dati personali”
A decorrere dal prossimo 25 maggio si applicherà in tutti i Paesi dell’Unione europea il nuovo “Regolamento europeo in materia di protezione dei dati personali” (Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016). Il nuovo Regolamento, meglio conosciuto come GDPR (in inglese “General Data Protection Regulation”) è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea del 4 maggio 2016 ma sono stati concessi oltre due anni di tempo agli Stati UE per allineare la loro normativa a quella europea. Il Parlamento italiano, con la legge 25 ottobre 2017, n. 163, (Gazzetta ufficiale del 6 novembre 2017), ha allo scopo delegato il Governo, che dovrà provvedere entro il 21 maggio 2018.
Lo scorso 21 marzo, il Consiglio dei Ministri ha così in tal senso approvato uno specifico schema di decreto legislativo, che potrà essere adottato in via definitiva solo dopo che siano stati acquisiti i pareri del Garante per la privacy (già espresso) e delle competenti commissioni parlamentari. La conclusione dell’iter è prevista per il 21 maggio. Sarà così pochissimo il tempo per consentire a tutti i destinatari del provvedimento di orientarsi e adeguarsi al nuovo quadro legislativo.
Il Garante per la protezione dei dati personali ha comunque messo on line un’ottima guida applicativa, a cui ci riferisce per questa comunicazione; la guida può essere scaricata dal seguente indirizzo internet: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449 ed è aggiornata periodicamente.
Obbligo per l’AiCS di adeguarsi al GDPR
Il nuovo Regolamento, e il decreto legislativo in corso di approvazione, spediranno definitivamente in soffitta il decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, meglio conosciuto come decreto per la tutela della privacy e tutti i soggetti che trattano dati personali dovranno adeguarsi alle nuove disposizioni.
Secondo l’art. 4 del GDPR è’ considerata “dato personale” qualsiasi informazione che renda una persona fisica identificata o identificabile, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, etc.
E’ inoltre considerata “trattamento“ qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’estrazione, la consultazione, l’uso, la comunicazione etc.
Il GDPR si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”: l’AiCS e le sue articolazioni territoriali in quanto raccolgono i dati del socio e li inseriscono in un archivio tenuto presso l’Associazione, o li comunicano a compagnia assicuratrice e CONI per gli adempimenti di legge, nonché le associazioni in genere, che tali dati raccolgono e conservano sia per fini interni sia per trasmetterli all’AICS per il rilascio della tessera, hanno pertanto l’obbligo di adeguarsi alla nuova normativa.
Comitati e affiliati sono del resto già oggi tenuti ad una serie di adempimenti, previsti dalla specifica disciplina data dal decreto legislativo 196/2003 e dalle autorizzazioni rilasciate dal Garante per la Protezione dei dati personali (ultima, in ordine di tempo, per quello che ci riguarda, l’autorizzazione n. 3/2016 “Autorizzazione al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, del 15 dicembre 2016”, che consente, tra l’altro, il trattamento dei dati sensibili dei soci, degli aderenti etc. per il perseguimento di scopi determinati e legittimi individuati dalla legge, dall’atto costitutivo, dallo statuto, per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive, rendendo a tali soggetti opportuna informativa scritta).
Con la nuova normativa, gli adempimenti saranno per tutti un po’ più complicati. Cominciamo pertanto a dare una prima informativa sui contenuti del GDPR, rimandando a successivi interventi la sua trattazione ulteriore.
Quando è lecito trattare i dati?
Il trattamento dei dati è lecito solo se ricorre almeno una delle condizioni previste dall’articolo 6 del GDPR, che coincidono sostanzialmente con quelle del vecchio codice della privacy. Per quello che direttamente ci riguarda, il trattamento dei dati è lecito se:
- è conseguenza del consenso espresso dall’interessato al trattamento dei propri dati personali per una o più specifiche finalità;
- oppure se è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (si pensi alla stipula della polizza assicurativa o al rilascio della tessera);
- oppure se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (si pensi all’obbligo di trasmettere al CONI i dati dei soci che praticano attività sportiva nonché dei membri dei Consigli direttivi delle ASD/SSD o all’obbligo statutario di trasmettere all’AICS i dati di tutti i soci).
E’ di norma vietato trattare i dati sensibili, cioè i dati personali (art. 9) che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, a meno che il trattamento non sia effettuato nei casi di cui allo stesso articolo 9, poco frequenti tra le associazioni a noi affiliate (problemi potrebbero esservi con il certificato medico di idoneità sportiva, qualora le associazioni vengano in possesso dei motivi per cui il certificato non può essere rilasciato).
Il titolare del trattamento ha l’obbligo di mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è conforme alla normativa. Esse consistono preferibilmente nell’adozione di codici di condotta approvati dall’autorità di controllo o nell’adozione di sistemi di certificazione. E’ questa una delle questioni più complesse, su cui torneremo nei prossimi interventi.
Possono esservi anche più titolari del trattamento, che determinano in accordo tra loro le rispettive responsabilità.
I contenuti dell’informativa da fornire agli interessati al trattamento dei dati
E’ obbligatorio fornire informativa agli interessati (nel nostro caso, in primo luogo i nostri soci) e in linea di principio per iscritto, che si stanno trattando i loro dati, e le finalità del trattamento. Ed è obbligatorio adeguare l’informativa a quanto previsto dal GDPR sin dal 25 maggio.
Rispetto all’attuale normativa, sono più ampi i contenuti dell’informativa che devono essere forniti, da parte del titolare del trattamento dei dati (cioè della persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati) o del responsabile del trattamento dei dati (cioè della persona fisica o giuridica che tratta i dati per conto del titolare), a tutela dell’esercizio della protezione dei dati. L’informativa deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; si deve poi utilizzare un linguaggio chiaro e semplice, in particolare quando le informazioni sono destinate ai minori. I contenuti dell’informativa sono elencati in modo tassativo all’articolo 13 del GDPR.
In caso di raccolta presso l’interessato di dati che lo riguardano (ad esempio un socio che si iscrive ad un’associazione), il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
- l’identità e i dati di contatto del titolare del trattamento (di norma l’Associazione e, per essa, il suo legale rappresentante);
- ove applicabile, l’identità e i dati di contatto del suo rappresentante, che, nel caso, deve essere nominato dal titolare. La nomina di un rappresentante non è obbligatoria ; quando c’è, deve però essere disciplinata da uno specifico contratto;
- ove applicabile, i dati di contatto del responsabile della protezione dei dati. La nomina di un responsabile della protezione dei dati è obbligatoria solo in alcuni casi, che analizzeremo in un prossimo intervento, insieme alle altre figure prima specificate;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; (nel nostro caso: per quanto riguarda le finalità, potremmo citare l’organizzazione delle attività statutarie, il rilascio della tessera associativa, la stipula delle polizze assicurative, la fornitura al CONI dei dati degli atleti e dei tecnici tesserati. Per quanto riguarda la base giuridica, per gli sportivi potremmo citare la legge sull’obbligo dell’assicurazione per gli sportivi e la normativa CONI dei dati dei tesserati che praticano attività sportiva);
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; (nei casi di cui sopra, di nuovo: AICS, compagnia assicurativa, CONI);
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; (ad esempio: sino a che il socio resta tale);
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- qualora sia stato espresso il consenso al trattamento dei dati, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo: il decreto legislativo in via di emanazione la identifica nel Garante per la protezione dei dati personali;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; (è in genere il nostro caso: se non si forniscono i dati personali, non può essere rilasciata la tessera associativa);
- l’esistenza o meno di un processo decisionale automatizzato, compresa la profilazione, e, nel caso ci sia, se ciò sia necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento (è una eventualità poco frequente per le nostre associazioni).
Più complesso è il caso in cui i dati non siano stati ottenuti presso l’interessato (Art. 14): è il caso ad esempio dei nostri comitati provinciali, che di norma ricevono i dati dalle associazioni affiliate. Il titolare del trattamento, in questo caso, fornisce all’interessato, oltre alle informazioni previste dall’articolo 13, la fonte da cui hanno origine i dati personali, entro un termine ragionevole dall’ottenimento di tali dati, e comunque entro un mese.
Questa disposizione complicherebbe enormemente il lavoro dei nostri Comitati, costretti ad inviare comunicazioni a migliaia di soci. Il GDPR però prevede che nel caso l’interessato disponga già delle informazioni suddette, e che comunicare tale ulteriore informazione risulterebbe impossibile o implicherebbe uno sforzo sproporzionato, le disposizioni previste dall’articolo 14 non si applicano. E’ pertanto indispensabile, nell’informativa da fornire all’interessato da parte delle associazioni che ne raccolgono i dati, specificare che essi saranno forniti all’AICS per regolamentare il rapporto associativo, che l’AICS fornirà i dati alla compagnia assicurativa per la liquidazione dei sinistri e la stipula delle eventuali polizze integrative nonché, per i soci che praticano attività sportiva, che l’AICS fornirà i dati al CONI per gli adempimenti di legge.
Quando il decreto legislativo cui abbiamo accennato sarà emanato, produrremo specifici modelli di informativa, sulla base di quanto sopra illustrato.
Il consenso al trattamento dei dati
Il nuovo GDPR prescrive esplicitamente che, qualora il trattamento dei dati sia basato sul consenso (art.7) esso debba essere esplicito, anche se non necessariamente in forma scritta, purché inequivocabile e concludente. Se il consenso però è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Non è ammesso il consenso tacito o presunto (ad esempio: caselle pre-spuntate su un modulo).
Il consenso dei minori è valido a partire dai 16 anni (il decreto legislativo in corso di approvazione propone 14 anni); prima di tale età il consenso deve essere rilasciato da chi esercita la responsabilità genitoriale.
Da AICS.IT (Pier Luigi Ferrenti, Responsabile nazionale organizzazione.)