A distanza di 19 anni dall’entrata in vigore della prima legge italiana sulla privacy (D. L. 196/2003), il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (“General Data Protection Regulation”, oramai meglio noto come “GDPR privacy”) che entrerà in vigore il prossimo 25 maggio 2018.
Con l’avvento di tale regolamento tutti i soggetti interessati dovranno necessariamente verificare/adeguare le proprie procedure di trattamento dei dati personali, avendo come riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano. Vediamo dunque quali sono le novità ed i principi ispiratori, a chi si applica e cosa cambia, senza tralasciare le possibili sanzioni in caso di inadempimento. Il tutto anche mediante un convegno gratuito aperto a tutti.
AGGIORNAMENTO DEL 5 SETTEMBRE 2018: pubblicato sulla Gazzetta Ufficiale di ieri (n. 205) il D. Lgs. 10 agosto 2018, n. 101 (in vigore dal prossimo 19 settembre 2018), recante le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)“.
A chi si applica il GDPR privacy?
Due sono i criteri da prendere in esame per verificare gli ambiti di applicazione della norma:
– uno materiale, consistente nei trattamenti effettuati (siano essi automatizzati o meno) di dati personali;
– uno territoriale, relativo al luogo di effettuazione del trattamento.
In buona sostanza, se siete stabiliti nell’Unione Europea e trattate/archiviate dati personali in qualsiasi forma oppure in ogni caso trattate dati di soggetti stabili in UE, il GDPR vi riguarda … eccome! Che siate aziende, organizzazioni o enti, con finalità di lucro oppure non profit, come le Associazioni (di ogni genere: sportive, culturali, di promozione sociale, di volontariato, onlus … o comunque Enti del Terzo Settore) e le Società Sportive Dilettantistiche (ivi incluse le lucrative), studi professionali o pubbliche amministrazioni, le novità in tema di privacy vi impongono un adeguamento delle procedure, delle nomine e dei format utilizzati.
Quali sono i principi/obiettivi alla base del GDPR privacy?
Ispirato dalla volontà di regolarizzare e disciplinare i trattamenti dei dati personali di tutte le persone che si trovano sul territorio dell’Unione Europea, il GDPR si fonda su:
– la responsabilizzazione (alias accountability) dei titolari del trattamento, ossia di coloro che determinano le finalità ed i mezzi del trattamento dei dati personali;
– la “privacy by design”, da intendersi come il rispetto dei principi del trattamento sin dalla progettazione del sistema e dall’organizzazione di un trattamento;
– la “privacy by default”, volta ad assicurare che sui dati vengano adottate misure tecniche e organizzative adeguate in grado di garantire che siano trattati, per impostazione predefinita, solo limitatamente alla specifica finalità del trattamento;
– l’analisi dei rischi dei trattamenti effettuati;
– la “valutazione d’impatto sulla protezione dei dati”, nel caso di trattamenti automatizzati, ivi compresa la profilazione;
– la tenuta di “registri delle attività di trattamento”, su cui rendicontare tutte le attività in materia di protezione e circolazione dei dati personali effettuate, al fine di dimostrare la conformità del titolare o del responsabile del trattamento alle disposizioni del Regolamento.
Quali sono le principali novità del regolamento?
Nel solco dei principi di cui sopra, molteplici sono le novità introdotte dal Regolamento, in particolare:
– regole più chiare in materia di informativa e consenso al trattamento dei dati: la prima dovrà essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice, mentre il secondo dovrà essere libero, specifico, informato e inequivocabile;
– diritto all’oblio dell’interessato, consistente nella possibilità per il richiedente di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali non più necessari per le finalità per le quali erano stati raccolti;
– diritto alla portabilità dei dati, in virtù del quale l’interessato avrà il diritto di ricevere in un formato strutturato i dati personali che lo riguardano forniti inizialmente ad un titolare del trattamento;
– introduzione della figura del Data Protection Officer (D.P.O.), ossia del responsabile della protezione dei dati. Il D.P.O. dovrà essere obbligatoriamente presente all’interno di tutte le aziende pubbliche nonché in tutte quelle private con più di 250 dipendenti od ove i trattamenti presentino specifici rischi (monitoraggio su larga scala o trattamento dei dati sensibili); potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi (la cui bozza è stata recentemente resa disponibile dallo stesso Garante italiano sul proprio sito);
– diritto al risarcimento, in caso di illecito utilizzo dei dati personali forniti;
– criteri rigorosi per il trasferimento dei dati al di fuori dell’UE;
– gestione dei “data breach” (violazioni di dati personali).
Quali adempimenti devono essere posti in essere per rispettare il regolamento GDPR privacy?
Principi e novità come quelle indicate non possono che richiedere adeguamenti di procedure, di nomine e di format utilizzati, motivo per il quale a tutti i destinatari della norma verrà richiesta:
– un’idonea informativa (che contenga finalità, periodo di conservazione, diritti degli interessati, …) sul trattamento dei dati personali e relativo consenso, con cui l’interessato deve manifestare in maniera positiva ed inequivocabile la volontà di accettare i trattamenti che lo riguardano;
– un’adeguata documentazione o contrattualistica per la nomina di responsabili, incaricati, eventuali rappresentanti o del D.P.O.;
– la gestione dei registri del trattamento e una valutazione d’impatto sulla protezione del rischio, essenziale al fine di attuare gli scopi della normativa e finalizzata, in particolare, a porre in essere misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati;
– l’adozione di codici di condotta, certificazioni o regolamenti interni.
Cosa fare per adeguarsi al regolamento GDPR privacy?
Per gestire la transizione ed affrontare il cambiamento verso l’applicazione del nuovo Regolamento Europeo sulla privacy occorre quindi:
– analizzare termini e modalità dei trattamenti effettuati;
– aggiornare documentazione, nomine e procedure relative al trattamento dei dati;
– valutare i rischi informatici connessi ai trattamenti ed i relativi adeguamenti;
– formare gli incaricati;
il tutto di gran lunga meglio se con un approccio molto pratico e pragmatico commisurato alla gestione delle problematiche ed alle esigenze specifiche di ciascun Ente.
Cosa rischia un’Associazione Non Profit o una Società Sportiva in caso di mancato adeguamento al GDPR privacy?
Il profilo sanzionatorio in caso di inadempimento, in questo caso più che mai, risulta particolarmente afflittivo. Posto che le sanzioni penali rimangono di competenza di ogni singolo Stato, le nuove sanzioni amministrative, disciplinate nel Capo VII del Regolamento, in particolare all’art. 83, consistono in:
– multe fino a 20.000.000 di euro, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni in materia di principi base del trattamento, diritti degli interessati, acquisizione del consenso, trasferimento di dati personali all’estero, o mancata ottemperanza a un ordine dell’autorità garante;
– sanzioni fino a 10.000.000 di euro, o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni inerenti alle disposizioni relative agli obblighi del Titolare o del Responsabile del trattamento.
La “carne al fuoco” è dunque tale e tanta (senza considerare le potenziali sanzioni) da suggerire di non improvvisarsi “esperti di privacy”, che dite? In questa direzione, a fronte delle numerose richieste di supporto ed approfondimento ricevute, abbiamo deciso di instaurare una collaborazione con un’azienda leader del settore al fine di consentire un confronto con un interlocutore adeguato in questo delicato momento di transizione. A tal proposito, vista la rilevante portata del Regolamento nonché degli adempimenti (insieme a tutti gli altri) ad esso connessi (di modesto o elevato impatto, a seconda delle specifiche impostazioni di ognuno), il prossimo venerdì 8 giugno, dalle 14:15 alle 18:15, nella prestigiosa location dell’ex fabbrica Olivetti di Ivrea, in Via Jervis n. 13 presso la “Hall Conference La Direzione del Benessere“, organizzeremo in collaborazione con ANG&OS e soprattutto con “Consulenti Privacy Torino”, un convengo monotematico gratuito sul tema, volto a chiarire ed illustrare le principali novità introdotte dal GDPR. QUI il programma completo.
Il Convegno prevedrà interventi informativi e formativi, funzionali alla comprensione delle novità e delle soluzioni operative praticabili, lasciando ampio spazio ai quesiti. Nella consueta logica, a seguire, ciascuno potrà liberamente valutare se/quando richiedere un supporto professionale diretto a “Consulenti Privacy Torino” al fine di ottenere un’assistenza diretta allo scopo di ottemperare alle nuove norme, il tutto senza il rischio di entrare nelle turbolenze speculative di questi ultimi mesi.
A parere di chi scrive. l’entrata in vigore di questo nuovo Regolamento Europeo non va vissuto né come una vessazione né con timore: quel che è certo è che alcune procedure (in particolare, ma non solo, per quel che più ci occupa riguardo i dati sensibili, certificati medici, …) andranno allineate alle nuove regole in vigore, meglio se dopo l’opportuna validazione di garanzia da parte di chi può fornire un supporto di elevata professionalità.
ATTENZIONE: I posti sono limitati, motivo per il quale è richiesta l’iscrizione via mail all’indirizzo info@tuttononprofit.com entro e non oltre il prossimo lunedì 4 giugno: #SAVETHEDATE!
Ing. Giorgio Montù
Dott. Stefano Bertoletti
Per verificare statuto e modalità gestionali adottate dal Vostro Ente proponiamo un intervento che prevede:
- invio di questionario in formato excel via mail;
- ricezione del questionario compilato unitamente ad una copia di statuto;
- call conference su skype (o di persona presso di noi) dedicata all’analisi del questionario, alla gestione dell’Associazione ed alle eventuali criticità riscontrate, con verifica delle possibili soluzioni operative;
- predisposizione, nei 5 giorni lavorativi successivi, di apposita relazione, con le prassi corrette.
Per maggiori informazioni scriveteci a info@tuttononprofit.com con oggetto “info check”.
Tutto Non Profit © riproduzione riservata
Per approfondire consultate i nostri E-Book, le Guide ed iscrivetevi alla newsletter (che tratta di temi fiscali, gestionali, amministrativi e giuridici per SSD, ASD, ETS, ODV ed APS). Account social: Facebook (Movida Studio), Twitter (Movida Studio), Instagram (Movida Studio), Linkedin (MOVIDA SRL) e YouTube (MOVIDA SRL).
: ecco le novità. Con tanto di convegno gratuito!){kind=link}
Potrebbero anche interessarti:
GDPR privacy un anno dopo: la tutela e la protezione dei dati per Associazioni, Enti del Terzo Settore e Società Sportive Non Profit
MOVIDA e Tutto Non Profit: cosa facciamo? Realizziamo le Vostre idee progettuali “non profit”!
Nuovi voucher (anche per gli Enti Non Profit) in arrivo il prossimo 10 luglio?
Nuovi Voucher per Associazioni ed Enti Non Profit: come si attivano? Quanto costano? Quali sono i limiti? Le sanzioni?
Fattura elettronica per Associazioni, Enti del Terzo Settore e Società Sportive: guida aggiornata al 17.01.2019
Buongiorno, faccio parte del consiglio dell’Associazione Genitori di una scuola bresciana e vorrei sapere se anche questo tipo di associazioni è tenuta all’osservazione del GDPR.
In sostanza siamo un’associazione di mamme che si occupa di gestire alcuni aspetti della scuola: anticipi, posticipi, organizzazione di corsi, raccolta deleghe per acquisto libri di testo…
Trattiamo e conserviamo dati quali nome, cognome, indirizzo, mail, telefono, codici fiscali e, raccogliendo le deleghe per i libri di testo, anche, in parte, l’orientamento religioso dei bambini.
Informativa, nomina del titolare del trattamento e del responsabile del trattamento, sono tutte cose obbligatorie anche per un’associazione di questo tipo? Grazie per l’attenzione.
Buongiorno. Gli adempimenti in termini di privacy valgono per tutti, indipendentemente dalla natura del soggetto giuridico che tratta i dati di terzi, motivo per il quale Le suggerisco di consultare professionisti in grado di individuare le Vostre reali esigenze a fronte delle tipologie e delle modalità di trattamento dei dati che il Vostro Ente pone in essere. Cordialità, Stefano Bertoletti
Buongiorno,
faccio parte di una onlus che si occupa di creare momenti di tempo libero per ragazzi disabili, abbiamo quindi dati di volontari e dati di utenti, cosa dobbiamo fare e a chi rivolgerci per essere in “regola”, purtroppo tanti commercialisti non si occupano di onlus e il centro per il volontariato ci propone corsi, ovviamente che costano e durante orari lavorativi, ed essendo tutti volontari lavoratori per noi è un problema dover prenderci permessi.
La ringrazio in anticipo per la risposta.
Buongiorno. Sul tema del GDPR (che interessa indistintamente soggetti profit e non profit) è opportuno che il Vostro Ente si relazioni con professionisti del settore in grado di comprendere, a fronte dei dati personali e particolari in Vostro possesso, quali siano gli adempimenti ad essi colegati. In caso di necessità trova i riferimenti della Società con la quale abbiamo organizzato il Convegno sul tema nel corpo dell’articolo. Cordialità, Stefano Bertoletti
Salve, sono presidente di una piccola ASD, è necessario far firmare ai vecchi soci la nuova informativa sulla privacy oppure è sufficiente che questa venga comunicata (inviata) agli stessi per presa visione? Grazie
Buongiorno. Se informativa e consenso al trattamento dei dati in Vostro possesso sono stati, in passato, acquisiti correttamente non è obbligatorio un nuovo invio in questa fase, ma necessario è l’adeguamento per il futuro. Cordialità, Stefano Bertoletti
Buongiorno
il convegno è pensato solo per le no profit del settore sportivo o è possibile partecipare anche se Associazione di promozione turistica?
grazie
Buongiorno. Il convegno avrà un taglio coerente con la platea, che non sarà composta da sole associaizoni sportive, ma altresì culturali, di promozione sociale, ecc … nonchè società sportive dilettantistiche, tenendo conto che, indipendentemente dalla tipologia di Ente, il Regolamento UE 679/2016 definisce adempimenti obbligatori per tutti coloro che effettuino trattamenti di dati. Cordialità, Stefano Bertoletti
Ciao,
siamo una piccola APS (30 soci) che si occupa di musica corale, di dati dei soci abbiamo (noi del consiglio) solo dati anagrafici, indirizzi mail e numeri di cellulare. Dobbiamo fare qualcosa per adeguarci?
Graze mille in anticipo
Buongiorno. La richiesta e conservazione dei dati rappresenta un “trattamento”, che in quanto tale prevede il rispetto delle previsioni introdotte dal GDPR. Suggeriamo quindi di verificare co un esperto nel dettaglio le Vostre esigenze, al fine di comprendere quali adempimenti debbano essere posti in essere per adeguarsi alle nuove previsioni di legge in tema di privacy: sotto questo profilo in Convegno potrebbe per Voi essere estremamente informativo e formativo. Cordialità, Stefano Bertoletti