LA PROGRAMMAZIONE DELLE CIRCOLARI SC/FNP PRIVACY EU 2018:
IN ATTESA DEL DECRETO "ITALIANO"
Come ormai noto, il G.D.P.R. è in vigore dal 25/05/2018, ma il ritardo del Governo italiano nell'emanare il Decreto Legislativo può essere una "chance" per coloro che non si sono ancora attivati. Come Studio Canta/Fisconoprofit abbiamo prontamente predisposto la modulistica per i nostri clienti, ma il lavoro principale è quello che non si può standardizzare: il DPO, la DPIA, l'accountability, ecc. Vediamo di fare il punto ...
__________________________________________________________________________________________
|
|
|
|
|
|
LA NUOVA PRIVACY:
che c'è da fare ?
Dopo aver sottolineato l'importanza dell'INFORMATIVA e del CONSENSO con la circolare SC/FNP di MAGGIO 2018 (invitiamo gli utenti ad andarla a recuperare nell'archivio mail in data 22/05/2018), ci soffermiamo quest'oggi sugli ulteriori adempimenti a cui sono chiamati gli enti no profit che trattano dati personali (anche solo acquisendo i dati anagrafici e non solo, degli associati, dei tesserati e/o degli iscritti/partecipanti). Ovviamente alla presenza di dati sensibili e/o giudiziari la situazione si fa un pò più complicata !!!
Comunque non guasta un breve ripasso, se non altro quale
glossario: l'ente no profit è indicato come titolare del trattamento, mentre la persona fisica responsabile del trattamento può essere designata, internamente o esternamente, con il compito di controllo e gestione del trattamento dei dati personali. Se non designata sarà il legale rappresentante il responsabile della sicurezza. Ma occorre che tale compito sia svolto (non sulla carta!)
Tutte le associazioni trattano dati personali, nessuna esclusa ... si tratta di valutare quali sono i rischi di perdita dei dati, nella tutela dei diritti e della libertà delle persone. Su questo principio dobbiamo effettuare la ns. valutazione, partendo dall'organizzazione amministrativa per poi arrivare alla parte tecnologica, passando per l'adeguatezza.
In cosa consiste il TRATTAMENTO DEI DATI PERSONALI?
La normativa in tema di privacy tutela tutte le persone fisiche, con le loro abitudini, il loro stile di vita, il loro stato di salute, distinguendo quelli che sono i DATI SENSIBILI (origine razziale, convinzione religiosa, opinioni politiche, stato di salute, orientamenti sessuali) dai DATI GIUDIZIARI (provvedim. giudiziari) e dai DATI INDENTIFICATIVI.
Ricordiamo che la tutela della privacy EU parte dal DATO PERSONALE:
"qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale" (articolo 4, n. 1, GDPR).
Che azioni deve fare il TITOLARE DEL TRATTAMENTO?
Il titolare del trattamento - come sopra premesso - è l'associazione che tratta i dati degli associati, dei tesserati, degli iscritti/partecipanti, ma anche di clienti, fornitori, dipendenti, collaboratori o di terzi, rappresentata dal Presidente pro-tempore. E' sua la responsabilità sulla VALUTAZIONE DEL RISCHIO e sull'organizzazione di STRUMENTI E PROCEDURE IDONEI alla tutela della privacy delle persone. Il Tirtolare del trattamento, nella persona del legale rappresentante, dovrà provare di aver adottato le misure necessarie alla sicurezza dei dati.
Quali sono i compiti del RESPONSABILE DEL TRATTAMENTO? Distinguiamo tra Responsabile e DPO!
La persona incaricata dal titolare del trattamento (ovvero lui stesso se non vi provvede) deve trattare direttamente o supervisionare sul trattemento dei dati da parte delle persone all'uopo incaricate, fissare le misure di sicurezza, tenere il registro dei trattamenti dei dati (quando obbligatorio o quando ritenuto opportuno), designare il Responsabile Protezione Dati (RPD), meglio noto come DPO (quando obbligatorio o se ritenuto opportuno).
L'incarico di Responsabile del Trattamento viene conferito con un contratto/lettera di incarico a persona di fiducia che presenti:
"garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento". Può essere un dipendente, un collaboratore o un soggetto esterno. Ricordiamoci che spetta al titolare del trattamento o al responsabile del trattamento, ove nominato, garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento. Su di essi ricade la responsabilità di garantire l'osservanza della normativa di protezione dei dati, anche quando viene nominato il DPO (esterno).
Diversa è la figura del Responsabile Protezione Dati (RPD), meglio noto come DPO (Data Protection Officer), che deve essere obbligatoriamente nominato da tutti gli enti pubblici (tranne gli organi giudiziari per trattamenti per fini di giustizia), nonchè da coloro che svolgono trattamenti su larga scala relativi al monitoraggio sistematico delle persone oppure al trattamento di particolari categorie di dati. Il soggetto obbligato deve redigere un atto di nomina.
Qualora l'associazione intenda affidare l'incarico ad un DPO (Data Protection Officer) può farlo anche nei casi in cui non vi sia l'obbligo di legge, se intende avvalersi di una figura professionale che:
- fornisca specifica consulenza al titolare del trattamento, al responsabile del trattamento o ai collaboratori che eseguono materialmente il trattamento, sorvegliando l'osservanza del regolamento;
- curi la formazione del personale;
- fornisca un parere in merito alla valutazione d'impatto sulla protezione dei dati (D.P.I.A.);
- sia il referente con il Garante per la protezione dei dati personali.
Quando occorre tenere il REGISTRO DEI TRATTAMENTI DEI DATI?
Nella circolare SC/FNP maggio 2018 - sopra richiamata - abbiamo dato come consiglio di utilizzarlo quando le associazioni hanno più di 250 associati: in realtà la norma parla di 250 dipendenti ma suggerisce di adottare criteri idonei a dimostrare la responsabilizzazione (accountability), anche perchè per le associazioni di una certa dimensione (
che noi determiniamo cautelativamente in 250 associati) i dati cominciano ad essere "non pochi" e la gestione degli stessi è il caso che venga prudenzialmente annotata sull'apposito registro (che lo Studio aggiorna per i clienti che chiedono l'estensione al canone platinum sul sito
https://studiocanta.blugdpr.com/login). Inoltre, tutte le associazioni sono obbligate al suddetto registro quando trattano dati sensibili, che il nuovo Codice della Privacy EU (art. 9, comma 1) definisce tali i dati
"che rilevino l'origine razziale o etnica, le opinioni politiche, le convizioni religiose o filosofiche, o l'appartenenza sindacale, nonchè trattare dati generici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona". Si pensi ad esempio ad eventuali allergie alimentari (comunicate in questo periodo per i camp estivi) o altri dati relativi alla salute da parte degli enti sportivi.
Nella prossima circolare BLU / Studio CANTA / privacy EU entreremo più nello specifico per analizzare quali dati e quale impostazione dare a questo registro e al D.P.I.A. (per le associazioni che vogliono adottare il "fai da te").
Cosa si intende per MISURE DI SICUREZZA? Non si parla più di MISURE MINIME DI SICUREZZA?
La nuova privacy EU abbandona il concetto di "misure minime di sicurezza"., dal momento che è posto a carico del Titolare o del Responsabile del trattamento il compito di definire, per mezzo di una analisi dei rischi, quali siano le MISURE DI SICUREZZA IDONEE a garantire la privacy dei dati personali. Occorre pertanto partire da una attenta valutazione del rischio:
"la probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato", in questo caso valutando la necessità del DPIA.
Quali sono i DIRITTI DEGLI INTERESSATI?
Gli interessati al trattamento dei dati hanno una serie di diritti, tra cui: ricevere l'informativa, accedere alle proprie informazioni (art. 15) entro un mese (estensibile a 3, in caso di complessità), aggiornare i propri dati (art. 16), veder cancellati i propri dati (art. 17 - diritto all'oblio), limitazione del trattamento (art. 18), portabilità dei dati (art. 20), opposizione al trattamento (art. 21).
Cosa fare con i CERTIFICATI MEDICI e con altri dati sanitari degli atleti?
Aspetto delicato per le società ed associazioni sportive dilettantistiche (e non) è quando si ha a che fare con i dati che riguardano lo stato di salute, in particolare per gli atleti siano essi agonisti o non agonisti. Il trattamento - nello specifico del certificato medico e di ogni altra informazione sanitaria sull'atleta - deve considerarsi "
necessario per finalità di medicina preventiva", situazione che potrebbe evitare il consenso per il trattamento (finalizzato all'obbligo e alla responsabilità che ne deriva in caso di mancata acquisizione dello stesso) ma che suggerisce - in attesa di chiarimenti - la massima prudenza (che coincide con la richiesta di espresso consenso).
Si consiglia in ogni caso di acquisire la documentazione strettamente necessaria allo svolgimento dell'attività, senza eccedere in dati sensibili che richiedono - come detto - in ogni caso il registro del trattamento dei dati (a prescindere dalla dimensione dell'ente) e la valutazione d'impatto sulla protezione dei dati (D.P.I.A.).
Altra questione delicata è la diffusione di notizie ai media, in merito ad infortuni o altre situazioni tipiche dell'attività sportiva (sempre in tema di salute): il certificato medico di per sè non c'entra nulla con l'esigenza o la volontà di aggiornare l'opinione pubblica sulla disponibilità o meno dello sportivo per la gara di finale del campionato o della sua partecipazione alle prossime olimpiadi. Per questo occorre darne informativa ed avere specifico consenso o una delega a rendere pubbliche determinate categorie di informazioni (cercando di dettagliarle al meglio).
Ma non dovevano essere previste SEMPLIFICAZIONI PER LE PMI (e, di conseguenza, per le associazioni)?
Il capitolo "semplificazioni" è demandato ad ogni singolo Stato membro dell'UE e, come prassi, l'Italia non arriva certo prima. Il decreto legislativo "italiano" è slittato di 3 mesi (nuovo termine: 21 agosto 2018) e dovrebbe portare in dote una riduzione degli adempimenti, adeguati alle relative dimensioni. Nel frattempo c'è chi non fa nulla, chi si adegua (almeno in parte), chi - volendo dormire sonni tranquilli - pone tutti gli obblighi (come una multinazionale). Noi come Studio stiamo adeguando man mano i nostri clienti su uno standard "medio" che possa - in caso di controlli - dimostrare che c'è un "cantiere aperto" (informativa, consenso, registro trattamento oltre 250 associati). Il tutto deve essere supportato da nomine, incarichi, verbali del Direttivo, eventuale nomina DPO e valutazione impatto privacy (DPIA). Un ginepraio, senza che siano ben chiari i confini; e le sanzioni sono l'unica cosa chiara !!!
__________________________________________________________________________________________
La Modulistica FISCONOPROFIT in aggiornamento: pronta la modulistica sulla privacy EU
Come abbiamo già avuto occasione di precisare nella circolare SC/FNP, Fisconoprofit ha aggiornato per i propri clienti la modulistica PRIVACY EU. In questa circolare vi presentiamo (in fac-simile) l'INFORMATIVA ed il relativo CONSENSO per quanto riguarda le associazioni sportive dilettantistiche (sia per i maggiorenni che per i minori). Altri moduli (che inseriremo nelle prossime circolare in fac-simile e che sono già disponibili per i clienti dello studio) sono dedicati alle altre associazioni e alle SRL sportive, per regolamentare iscritti, tesserati e partecipanti.
|