GDPR PRIVACY (anche per Associazioni Non Profit e Società Sportive): ecco le novità. Con tanto di convegno gratuito!

A distanza di 19 anni dall’entrata in vigore della prima legge italiana sulla privacy (D. L. 196/2003), il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (“General Data Protection Regulation”, oramai meglio noto come “GDPR privacy”) che entrerà in vigore il prossimo 25 maggio 2018.
Con l’avvento di tale regolamento tutti i soggetti interessati dovranno necessariamente verificare/adeguare le proprie procedure di trattamento dei dati personali, avendo come riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano. Vediamo dunque quali sono le novità ed i principi ispiratori, a chi si applica e cosa cambia, senza tralasciare le possibili sanzioni in caso di inadempimento. Il tutto anche mediante un convegno gratuito aperto a tutti.

AGGIORNAMENTO DEL 5 SETTEMBRE 2018: pubblicato sulla Gazzetta Ufficiale di ieri (n. 205) il D. Lgs. 10 agosto 2018, n. 101 (in vigore dal prossimo 19 settembre 2018), recante le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)“.

A CHI SI APPLICA IL GDPR?
Due sono i criteri da prendere in esame per verificare gli ambiti di applicazione della norma:
– uno materiale, consistente nei trattamenti effettuati (siano essi automatizzati o meno) di dati personali;
– uno territoriale, relativo al luogo di effettuazione del trattamento.
In buona sostanza, se siete stabiliti nell’Unione Europea e trattate/archiviate dati personali in qualsiasi forma oppure in ogni caso trattate dati di soggetti stabili in UE, il GDPR vi riguarda … eccome! Che siate aziende, organizzazioni o enti, con finalità di lucro oppure non profit, come le Associazioni (di ogni genere: sportive, culturali, di promozione sociale, di volontariato, onlus … o comunque Enti del Terzo Settore) e le Società Sportive Dilettantistiche (ivi incluse le lucrative), studi professionali o pubbliche amministrazioni, le novità in tema di privacy vi impongono un adeguamento delle procedure, delle nomine e dei format utilizzati.

QUALI SONO I PRINCIPI/OBIETTIVI ALLA BASE DEL GDPR?
Ispirato dalla volontà di regolarizzare e disciplinare i trattamenti dei dati personali di tutte le persone che si trovano sul territorio dell’Unione Europea, il GDPR si fonda su:
– la responsabilizzazione (alias accountability) dei titolari del trattamento, ossia di coloro che determinano le finalità ed i mezzi del trattamento dei dati personali;
– la “privacy by design”, da intendersi come il rispetto dei principi del trattamento sin dalla progettazione del sistema e dall’organizzazione di un trattamento;
– la “privacy by default”, volta ad assicurare che sui dati vengano adottate misure tecniche e organizzative adeguate in grado di garantire che siano trattati, per impostazione predefinita, solo limitatamente alla specifica finalità del trattamento;
– l’analisi dei rischi dei trattamenti effettuati;
– la “valutazione d’impatto sulla protezione dei dati”, nel caso di trattamenti automatizzati, ivi compresa la profilazione;
– la tenuta di “registri delle attività di trattamento”, su cui rendicontare tutte le attività in materia di protezione e circolazione dei dati personali effettuate, al fine di dimostrare la conformità del titolare o del responsabile del trattamento alle disposizioni del Regolamento.

QUALI SONO LE PRINCIPALI NOVITÀ DEL REGOLAMENTO?
Nel solco dei principi di cui sopra, molteplici sono le novità introdotte dal Regolamento, in particolare:
– regole più chiare in materia di informativa e consenso al trattamento dei dati: la prima dovrà essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice, mentre il secondo dovrà essere libero, specifico, informato e inequivocabile;
diritto all’oblio dell’interessato, consistente nella possibilità per il richiedente di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali non più necessari per le finalità per le quali erano stati raccolti;
diritto alla portabilità dei dati, in virtù del quale l’interessato avrà il diritto di ricevere in un formato strutturato i dati personali che lo riguardano forniti inizialmente ad un titolare del trattamento;
– introduzione della figura del Data Protection Officer (D.P.O.), ossia del responsabile della protezione dei dati. Il D.P.O. dovrà essere obbligatoriamente presente all’interno di tutte le aziende pubbliche nonché in tutte quelle private con più di 250 dipendenti od ove i trattamenti presentino specifici rischi (monitoraggio su larga scala o trattamento dei dati sensibili); potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi (la cui bozza è stata recentemente resa disponibile dallo stesso Garante italiano sul proprio sito);
diritto al risarcimento, in caso di illecito utilizzo dei dati personali forniti;
– criteri rigorosi per il trasferimento dei dati al di fuori dell’UE;
– gestione dei “data breach” (violazioni di dati personali).

QUALI ADEMPIMENTI DEVONO ESSERE POSTI IN ESSERE PER RISPETTARE IL REGOLAMENTO?
Principi e novità come quelle indicate non possono che richiedere adeguamenti di procedure, di nomine e di format utilizzati, motivo per il quale a tutti i destinatari della norma verrà richiesta:
– un’idonea informativa (che contenga finalità, periodo di conservazione, diritti degli interessati, …) sul trattamento dei dati personali e relativo consenso, con cui l’interessato deve manifestare in maniera positiva ed inequivocabile la volontà di accettare i trattamenti che lo riguardano;
– un’adeguata documentazione o contrattualistica per la nomina di responsabili, incaricati, eventuali rappresentanti o del D.P.O.;
– la gestione dei registri del trattamento e una valutazione d’impatto sulla protezione del rischio, essenziale al fine di attuare gli scopi della normativa e finalizzata, in particolare, a porre in essere misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati;
– l’adozione di codici di condotta, certificazioni o regolamenti interni.

COSA FARE PER ADEGUARSI?
Per gestire la transizione ed affrontare il cambiamento verso l’applicazione del nuovo Regolamento Europeo sulla privacy occorre quindi:
– analizzare termini e modalità dei trattamenti effettuati;
aggiornare documentazione, nomine e procedure relative al trattamento dei dati;
valutare i rischi informatici connessi ai trattamenti ed i relativi adeguamenti;
formare gli incaricati;
il tutto di gran lunga meglio se con un approccio molto pratico e pragmatico commisurato alla gestione delle problematiche ed alle esigenze specifiche di ciascun Ente.

COSA SI RISCHIA IN CASO DI MANCATO ADEGUAMENTO?
Il profilo sanzionatorio in caso di inadempimento, in questo caso più che mai, risulta particolarmente afflittivo. Posto che le sanzioni penali rimangono di competenza di ogni singolo Stato, le nuove sanzioni amministrative, disciplinate nel Capo VII del Regolamento, in particolare all’art. 83, consistono in:
multe fino a 20.000.000 di euro, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni in materia di principi base del trattamento, diritti degli interessati, acquisizione del consenso, trasferimento di dati personali all’estero, o mancata ottemperanza a un ordine dell’autorità garante;
sanzioni fino a 10.000.000 di euro, o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni inerenti alle disposizioni relative agli obblighi del Titolare o del Responsabile del trattamento.

La “carne al fuoco” è dunque tale e tanta (senza considerare le potenziali sanzioni) da suggerire di non improvvisarsi “esperti di privacy”, che dite? In questa direzione, a fronte delle numerose richieste di supporto ed approfondimento ricevute, abbiamo deciso di instaurare una collaborazione con un’azienda leader del settore al fine di consentire un confronto con un interlocutore adeguato in questo delicato momento di transizione. A tal proposito, vista la rilevante portata del Regolamento nonché degli adempimenti (insieme a tutti gli altri) ad esso connessi (di modesto o elevato impatto, a seconda delle specifiche impostazioni di ognuno), il prossimo venerdì 8 giugno, dalle 14:15 alle 18:15, nella prestigiosa location dell’ex fabbrica Olivetti di Ivrea, in Via Jervis n. 13 presso la “Hall Conference La Direzione del Benessere“, organizzeremo in collaborazione con ANG&OS e soprattutto con “Consulenti Privacy Torino”, un convengo monotematico gratuito sul tema, volto a chiarire ed illustrare le principali novità introdotte dal GDPR. QUI il programma completo.
Il Convegno prevedrà interventi informativi e formativi, funzionali alla comprensione delle novità e delle soluzioni operative praticabili, lasciando ampio spazio ai quesiti. Nella consueta logica, a seguire, ciascuno potrà liberamente valutare se/quando richiedere un supporto professionale diretto a “Consulenti Privacy Torino” al fine di ottenere un’assistenza diretta allo scopo di ottemperare alle nuove norme, il tutto senza il rischio di entrare nelle turbolenze speculative di questi ultimi mesi.

A parere di chi scrive. l’entrata in vigore di questo nuovo Regolamento Europeo non va vissuto né come una vessazione né con timore: quel che è certo è che alcune procedure (in particolare, ma non solo, per quel che più ci occupa riguardo i dati sensibili, certificati medici, …) andranno allineate alle nuove regole in vigore, meglio se dopo l’opportuna validazione di garanzia da parte di chi può fornire un supporto di elevata professionalità.
ATTENZIONE: I posti sono limitati, motivo per il quale è richiesta l’iscrizione via mail all’indirizzo info@tuttononprofit.com entro e non oltre il prossimo lunedì 4 giugno: #SAVETHEDATE!

Ing. Giorgio Montù
Dott. Stefano Bertoletti

Tutto Non Profit © riproduzione riservata – VOLETE SAPERNE DI PIÙ? Consultate le nostre Guide (cliccando QUI) e richiedete un aggiornamento periodico e approfondito sulle tematiche gestionali e giuridico-fiscali di tutti gli Enti non Profit (ASD, OdV, ONLUS, APS, SSD, …) cliccando QUI.

(Visto 23.306 volte, 3 visite oggi)

Condividi su:

6 commenti

  1. Ciao,

    siamo una piccola APS (30 soci) che si occupa di musica corale, di dati dei soci abbiamo (noi del consiglio) solo dati anagrafici, indirizzi mail e numeri di cellulare. Dobbiamo fare qualcosa per adeguarci?

    Graze mille in anticipo

    1. Buongiorno. La richiesta e conservazione dei dati rappresenta un “trattamento”, che in quanto tale prevede il rispetto delle previsioni introdotte dal GDPR. Suggeriamo quindi di verificare co un esperto nel dettaglio le Vostre esigenze, al fine di comprendere quali adempimenti debbano essere posti in essere per adeguarsi alle nuove previsioni di legge in tema di privacy: sotto questo profilo in Convegno potrebbe per Voi essere estremamente informativo e formativo. Cordialità, Stefano Bertoletti

    1. Buongiorno. Il convegno avrà un taglio coerente con la platea, che non sarà composta da sole associaizoni sportive, ma altresì culturali, di promozione sociale, ecc … nonchè società sportive dilettantistiche, tenendo conto che, indipendentemente dalla tipologia di Ente, il Regolamento UE 679/2016 definisce adempimenti obbligatori per tutti coloro che effettuino trattamenti di dati. Cordialità, Stefano Bertoletti

  2. Salve, sono presidente di una piccola ASD, è necessario far firmare ai vecchi soci la nuova informativa sulla privacy oppure è sufficiente che questa venga comunicata (inviata) agli stessi per presa visione? Grazie

    1. Buongiorno. Se informativa e consenso al trattamento dei dati in Vostro possesso sono stati, in passato, acquisiti correttamente non è obbligatorio un nuovo invio in questa fase, ma necessario è l’adeguamento per il futuro. Cordialità, Stefano Bertoletti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *