Da parte delle associazioni e società sportive dilettantistiche, culturali e di promozione sociale cosa effettivamente è cambiato con l’entrata in vigore del GDPR?

Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo 679/2016; successivamente, al fine di adeguare la previgente legislazione nazionale alla normativa europea, con D.Lgs. 101/2018 veniva modificato il Codice della Privacy.

Per quanto possa apparire curioso, si può certamente affermare che la normativa in questione colpisce maggiormente gli enti no profit, piuttosto che le società commerciali, in quanto la mole di dati provenienti dai primi è quasi esclusivamente riferita a persone fisiche.

Posta questa breve premessa, possiamo ora analizzare le modalità con cui gli enti no profit devono adeguarsi alla recente regolamentazione o, meglio, come devono ristrutturare la loro gestione del trattamento dati in virtù delle nuove disposizioni normative.

Solitamente le associazioni trattano solo dati personali non sensibili, quali ad esempio dati anagrafici e numeri di telefono, raramente trattano dati sensibili come certificazioni mediche o dati che presentano rischi, come carte di credito dei clienti.

Sul punto, occorre una precisazione in merito ai certificati medico-sanitari degli atleti per l’attività agonistica e non: occorre chiedersi se tali dati possano o meno considerarsi “sensibili”.

Analizzando attentamente la questione, si ritiene che il certificato medico attestante l’idoneità non possa certamente rientrare nella categoria dei “dati sensibili”; a diverse conclusioni, invece, deve giungersi con riferimento ai certificati attestanti la non idoneità dell’atleta (ma sul punto si ritiene improbabile che un’associazione conservi, all’interno dei propri archivi digitali e/o cartacei, certificati medici di non idoneità).

Si consiglia comunque di trattare la gestione del certificato medico attestante l’idoneità con le giuste cautele, quelle che illustreremo anche per tutti gli altri dati.

In virtù della normativa comunitaria in vigore - fermo restando che gli adempimenti prescritti per gli enti di volontariato erano già previsti dal Codice della Privacy, in vigore in Italia dal 2003 - le modalità di trattamento dei dati e l’individuazione delle figure che hanno accesso a tali dati devono essere specificatamente individuati (ancor prima dell’acquisizione dei dati stessi) e confluiscono nei documenti obbligatori e/o facoltativi previsti dalla normativa.

Il possesso di tale documentazione, regolarmente formata, consente di tutelarsi da eventuali responsabilità civili e penali nei confronti dei terzi.

Prendendo le mosse da uno dei capisaldi della disciplina sulla privacy, e cioè l’informativa, va precisato che attualmente l’associazione/società predisponga un’informativa non più generica (come previsto in passato), ma chiara, accessibile e scritta correttamente, comprensiva, se necessario, della manifestazione di consenso dell’individuo in ordine al trattamento dei dati.

Occorre, inoltre, predisporre il registro del trattamento che contenga in maniera chiara l’indicazione delle figure (titolare, responsabile…) e la tipologia dei dati trattati; la tenuta di tale registro non è sempre obbligatoria, tuttavia assume rilevante importanza in caso di ispezione.

È necessario poi effettuare, se occorre, mediante DPIA e Valutazione Rischi, un tracciato delle operazioni che hanno portato alle modalità di trattamento dati all’interno dell’ente no profit.

Altro aspetto particolarmente rilevante e che non va tralasciato è quello relativo alla sensibilizzazione dei soggetti coinvolti a qualsiasi titolo, per conto dell’ente no profit, nel trattamento dei dati, mediante adeguata formazione (che deve risultare agli atti).  In caso di molti incaricati meglio diversificare le documentazioni a cui possono accedere le persone. (non è possibile che tutti gli istruttori, tutti i consiglieri abbiano accesso a qualunque dato).

Riassumendo, mi permetto di consigliare queste procedure:

  1. studio della struttura dati e gestione trattamento (dpia e valutazioni di impatto);
  2. analisi dei dati trattati e mezzi utilizzati;
  3. lettera di incarico e formazione degli incaricati e del titolare, co-titolare e responsabile dell’ente no profit (nomine e registro corsi);
  4. predisposizione di informativa chiara ed accessibile, con relativo consenso al trattamento, se necessario;
  5. immagazzinamento dati protetto da sistemi di sicurezza (password) sia cartacei sia digitali (sul punto, non è possibile utilizzare un computer obsoleto con sistemi operativi non più aggiornabili e privo di un adeguato antivirus);.

DOTT. UGO SPICOCCHI
CONS. PRIVACY – CONS. TRIBUTARIO
DOCENTE eCAMPUS


Login

Remember Me


In caso di problemi con gli account siete pregati di inviare una mail a
accfiscocsen@gmail.com
per ricevere assistenza.

Prossimi Eventi

No events

Intervista al Presidente CSEN Francesco Proietti

Francesco Proietti

D: Presidente Proietti, in merito all'incontro tenutosi il 31 gennaio scorso nell'Aula Magna dell’Acqua Acetosa nel corso del quale i Sottosegretari Giancarlo Giorgetti, Simone Valente hanno presentato la nuova riforma del sistema sportivo italiano, alla quale Lei è stato presente in qualità di Presidente del CSEN. Ci può brevemente raccontare cosa è stato detto al fine di farci comprendere la reale portata di tale riforma?