GDPR privacy un anno dopo: la tutela e la protezione dei dati per Associazioni, Enti del Terzo Settore e Società Sportive Non Profit

Con l’entrata in vigore del Regolamento europeo 2016/679 (meglio noto come GDPR privacy), tutte le Associazioni Sportive, gli Enti del Terzo Settore (che verranno) e le Società Sportive Dilettantistiche sono obbligate ad adeguarsi alla disciplina europea sulla protezione dei dati personali e, quindi, a rispettare le disposizioni normative comunitarie divenute concretamente applicabili in Italia già dallo scorso 25 maggio 2018.

Per l’adeguamento alla normativa il Legislatore europeo ha concesso due anni di tempo, motivo per il quale il rispetto del regolamento privacy, ormai, è un obbligo non più rinviabile, dal momento che a partire dallo scorso 20 maggio 2019 è decorso anche l’ulteriore termine di “tregua” concesso dal Garante per la privacy allo scopo di attenuare bonariamente il rigore applicativo e l’irrogazione delle sanzioni previste per le inadempienze.

Il GDPR privacy interessa anche Associazioni Sportive, Enti del Terzo Settore e Società Sportive?

Le “palestre” (ASD/SSD), i circoli culturali, le Associazioni di Promozione Sociale (APS), le Organizzazioni di Volontariato (ODV), le ONLUS e, più in generale, tutte le strutture che promuovono attività sportive e/o culturali raccolgono (per necessità) numerose quantità di dati personali relativi ai propri iscritti: l’acquisizione di tali dati è evidentemente essenziale non solo per lo svolgimento delle attività ma anche per l’organizzazione dell’Ente. Per queste ragioni, dunque, è indispensabile che siano rispettati i nuovi obblighi in tema di privacy previsti dal Legislatore europeo e che siano predisposte da ogni persona giuridica che tratta questi dati tutte le misure di sicurezza più adeguate al fine di ridurre i rischi connessi a eventuali violazioni di dati o data breach (perdita, distruzione, divulgazione non autorizzata, indebita cessione a terzi, …). L’obiettivo principale del GDPR europeo, infatti, è quello di potenziale il livello di sicurezza dei dati quotidianamente raccolti, elaborati e conservati, al fine di evitare indebite violazioni della privacy di ognuno.

Quali dati vanno messi in sicurezza, ai sensi del GDPR europeo, per il rispetto della privacy di soci/iscritti di Associazioni Non Profit e Società Sportive?

Associazioni Sportive, Enti del Terzo Settore e Società Sportive Dilettantistiche sono dunque ora ancor di più chiamate a tutelare e proteggere i dati personali di tutti gli iscritti che accedono ai loro corsi ed alle loro attività, quelli degli utenti che si registrano su eventuali applicazioni per smartphone o che navigano sui loro siti web o blog (attenzione a ciò che scrivete!), quelli dei dipendenti e di tutti i collaboratori (sportivi, ex lege 342/2000, o no) che possono accedere ai dati degli iscritti (personal trainer, receptionist, …) oltre a quelli dei fornitori di beni e servizi.
Dai grandi centri alle piccole realtà, pertanto, tutte le persone giuridiche sono vincolate al rispetto degli adempimenti minimi e principali previsti dal GDPR privacy.

Cosa fare per rispettare il GDPR privacy?

1. Rilasciare informative privacy ai soci, ai collaboratori, ai dipendenti ed ai fornitori

Le persone giuridiche (Associazioni, ETS e Società Sportive) rivestono il ruolo di titolari del trattamento rispetto ai dati dei propri iscritti, collaboratori, dipendenti e fornitori per tutte le operazioni effettuate con i dati acquisiti direttamente da tali categorie di interessati (dalla raccolta dei dati necessari alla gestione della procedura d’iscrizione, alla conservazione degli stessi dati negli archivi cartacei e/o digitali). Pertanto è di fondamentale importanza che ASD, ETS e SSD provvedano al rilascio di idonee informative privacy ai propri associati/iscritti, collaboratori, dipendenti e fornitori: gli interessati, infatti, hanno primariamente il diritto di essere informati sulle finalità per cui sono raccolti e trattati i loro dati personali, le modalità di elaborazione ed i tempi di conservazione oltre ai diritti che possono legittimamente esercitare nei confronti del titolare (come quello di accesso, di rettifica, di cancellazione dei dati, di opposizione e di limitazione al trattamento). Idem dicasi per gli utenti web che navigano sui siti piuttosto che su app, su cui è richiesta una privacy & cookie policy ad hoc.

2. Richiedere un consenso esplicito per il trattamento dei dati

Gli Enti devono assicurarsi di richiedere ai propri soci/iscritti l’espresso ed esplicito consenso al trattamento dei loro dati per finalità diverse e/o ulteriori rispetto a quelle necessarie per l’esecuzione delle attività richieste (si pensi, ad esempio, ad attività di “marketing” diretto, con tutte le accortezze del caso trattandosi di Enti Non Profit, oppure all’invio di comunicazioni tramite servizi di newsletter, per non parlare dell’eventuale cessione dei dati a società terze per finalità di marketing).

3. Individuare e nominare i responsabili esterni

È necessario che il titolare del trattamento abbia cura di individuare e nominare formalmente, con idonea lettera d’incarico, i propri responsabili esterni, ai quali verrà affidata l’elaborazione e la gestione dei dati per conto e nell’interesse del titolare medesimo (e qui ci stanno i consulenti, il commercialista, il consulente del lavoro, l’Ente di promozione o la Federazione Sportiva che iscrivono i partecipanti alle attività anche al registro CONI …).

4. Formare il personale autorizzato ad accedere ai dati personali degli iscritti

Posto che ciascun dipendente/collaboratore dell’Ente, in forza delle proprie mansioni, deve accedere ai dati personali degli iscritti, utilizzandoli per lo svolgimento delle attività (con il conseguente rischio di violarne la privacy), tutto il personale dovrà essere formato ed istruito in maniera idonea, autorizzandolo esplicitamente a compiere le operazioni di trattamento dei dati in veste di incaricati del trattamento. Sarà dunque necessario predisporre idonei piani di formazione e sensibilizzazione sulla disciplina della protezione e tutela dei dati personali per tutti i soggetti autorizzati al trattamento dei dati in questione.

5. Adottare il registro dei trattamenti

Tutti gli Enti interessati dal GDPR privacy sono dunque tenuti ad adottare il registro dei trattamenti e, cioè, il documento che individua tutti i possibili processi di trattamento dei dati personali effettuati in relazione a tutte le categorie di interessati, contenente le informazioni necessarie e funzionali a garantire la piena consapevolezza degli ambiti operativi delle attività svolte con i dati personali.

6. Adottare misure di sicurezza adeguate (fisiche ed informatiche) atte a garantire la protezione dei dati

Ciascun titolare del trattamento, in base al principio di responsabilizzazione (accountability), dovrà adottare tutte le più adeguate misure di sicurezza, fisiche, informative ed informatiche atte a garantire la miglior protezione possibile di tutto il patrimonio di dati oggetto di trattamento. Al fine di ridurre i rischi di violazione e perdita dei dati, infatti, ASD, ETS ed SSD hanno l’onere di provvedere all’adozione di soluzioni di sicurezza informatica, tra cui (tra le più comuni) credenziali di accesso ai sistemi informatici, antivirus, firewall, procedure di backup e di ripristino dei dati in caso di incidenti di sicurezza, nonché alla predisposizione di tutti gli adempimenti necessari per garantire la conformità di eventuali impianti di videosorveglianza (richiesta di autorizzazione preventiva all’Ispettorato del Lavoro, informativa rivolta ai dipendenti, lettere d’incarico per coloro che sono autorizzati ad accedere alle immagini oggetto di registrazione).

Quali sono i rischi e le sanzioni connesse al mancato adeguamento al GDPR privacy?

Il mancato rispetto degli adempimenti essenziali evidenziati nonché dei princìpi di base del Regolamento Europeo 679/2016 potrà comportare, previa verifica ed accertamenti della Guardia di Finanza e delle altre Forze dell’ordine (chiamate ad agire per conto dell’Autorità Garante), l’irrogazione di sanzioni amministrative (da 10.000.000 a 20.000.000 di euro o dal 2% al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiori alle suddette cifre), penali (trattamento illecito di dati personali, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, inosservanza dei provvedimenti del Garante) e civili (risarcimento danni per violazione della protezione dei dati).

Se le sanzioni amministrative possono sembrare (non a torto) esorbitanti, è altrettanto condivisibile la necessità di adeguarsi al GDPR privacy non solo per rispettare le previsioni del Regolamento Europeo, ma anche (e soprattutto?) per garantire a tutte le categorie di interessati che hanno a che fare con Associazioni Non Profit, Enti del Terzo Settore e Società Sportive Dilettantistiche la protezione e la riservatezza dei loro dati personali (in un mondo, a volte, dove la “tutela della privacy” sembra essere solo uno slogan).

Come sempre liberi di scegliere come procedere, ma non dite poi che non ve l’avevamo detto 😉

Per maggiori informazioni scriveteci a info@tuttononprofit.com con oggetto “info check”.

Dott.ssa Federica Savio
Dott. Stefano Bertoletti

Tutto Non Profit © riproduzione riservata

Per approfondire consultate i nostri E-Book, le Guide ed iscrivetevi alla newsletter (che tratta di temi fiscali, gestionali, amministrativi e giuridici per SSD, ASD, ETS, ODV ed APS). Account social: Facebook (Movida Studio), Twitter (Movida Studio), Instagram (Movida Studio), Linkedin (MOVIDA SRL) e YouTube (MOVIDA SRL).