leggi asd

GDPR

Con l’entrata in vigore del Regolamento Europeo “General Data Protection Regulation” (GDPR) il trattamento dei dati cambia anche per le associazioni. Cerchiamo di fare chiarezza su alcune terminologie:

 

Trattamento
Si definisce trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Dati personali
Per dati personali si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.

Interessato
“Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Non è soggetto “interessato”, per il GDPR, la persona giuridica.

Profilazione
La profilazione è “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Titolare
Il titolare è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Responsabile del trattamento
Il responsabile al trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Incaricati
Gli incaricati sono le persone fisiche autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento dai dati.

Comunicazione dei dati
La comunicazione dei dati è la condivisione dei dati personali dell’interessato con uno o più soggetti determinati diversi dall’interessato.

Diffusione dei dati
La diffusione dei dati è la condivisione dei dati personali dell’interessato con soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Informativa
L’informativa è il modulo con cui si comunica all’interessato la tipologia dei dati, il modo di raccolta, lo scopo, la gestione e la conservazione dei dati che si vuole richiedere e trattare. Nell’informativa inoltre viene indicato chi tratta i dati raccolti (quindi il titolare, il responsabile e gli eventuali incaricati) e tutti i diritti dell’interessato ed i canali di comunicazione per poter richiedere di esercitare i diritti sui proprio dati. Non da ultimo se i dati personali saranno utilizzati con finalità di marketing (o se dovessero essere condivisi con altre aziende), nell’informativa privacy dovrà essere indicato in maniera esplicita a chi saranno comunicati e per quali scopi.
L’informativa dovrà essere chiara e di facile comprensione.

Consenso
Il consenso al trattamento dei dati personali dovrà essere esplicito, informato, chiaro, specifico, distinto, libero, revocabile; non varrà mai la regola del chi tace acconsente. L’interessato potrà revocare il proprio consenso in ogni momento e il responsabile del trattamento sarà obbligato a cancellare tutti i dati raccolti. Per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o chi ne esercita la patria potestà. Diritto all’oblio ed alla conservazione limitata. L’interessato potrà richiedere in ogni momento la cancellazione dei propri dati personali. La conservazione dei dati dell’interessato non potrà essere illimitata ma dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.

Violazione dei dati
In caso di violazione o furto dei dati, il titolare del trattamento è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dovesse rappresentare una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare immediatamente in modo chiaro e semplice tutti gli interessati e offrire indicazioni su come si intende limitare le possibili conseguenze.

Registro del trattamento
Il registro del trattamento dei dati è un documento all’interno del quale dovrà essere indicato il titolare, il responsabile e le modalità di trattamento e conservazione dei dati personali dell’interessato.

Le associazioni dovranno quindi:

1-  Dopo una riunione del Consiglio Direttivo, stilare un verbale nel quale saranno indicati quali dati verranno raccolti, per quali scopi vengono raccolti, a chi andranno eventualmente comunicati, per quanto tempo andranno conservati, chi sarà il titolare, chi il responsabile e chi gli incaricati, quali misure pratiche verranno adottate per la conservazione e l’accesso ai dati in sicurezza, decidere i canali di comunicazione tra l’interessato ed il titolare dei dati (registro del trattamento);

2-  fornire ai Soci ed ai futuri Soci/Tesserati un’informativa chiara e semplice dove saranno indicati i dati personali che si intendono raccogliere, le finalità per cui si raccolgono, l’eventuale comunicazione a terzi dei dati e la motivazione, i diritti dell’interessato, le modalità per esercitare i diritti, il titolare e il responsabile;

3-  formare gli incaricati che tratteranno i dati;

4-  ricevere il consenso dall’interessato per il trattamento dei dati personali;

5-  trattare i dati personali dell’interessato secondo correttezza e trasparenza;

6-  raccogliere solo i dati strettamente indispensabili alle finalità associative in modo che non siano eccedenti a quanto necessario;

7-  controllare che i dati raccolti siano corretti;  

8-  trattare i dati per il tempo necessario allo svolgimento delle finalità associative e non per un periodo di tempo superiore;

9-  garantire un’adeguata sicurezza e protezione dei dati personali;

10-  garantire la richiesta di modifica/rettifica dei dati;

11-  garantire il diritto all’oblio ed alla cancellazione dei dati personali;

12- redigere il registro dei trattamenti.

Teniamo a precisare che il GDPR è un processo, non un atto.

Solitamente siamo abituati ad adempiere a una norma in un'unica soluzione. Il GDPR invece insiste chiaramente sul fatto che ogni modifica di qualsiasi tipo non solo nella procedura di raccolta e trattamento dei dati, ma anche solo nelle sue finalità deve comportare un documentato riesame di tutta la procedura.
Insomma il GDPR è un processo continuo e richiede continue verifiche.
Ti invitiamo a vedere il nostro servizio di consulenza GDPR:

Servizio GDPR

 

AREA DOWNLOAD:

 

Letto 8130 volte Ultima modifica il Lunedì, 01 Febbraio 2021

4Settori: dal 1995 a sostegno delle associazioni 

4Settori dal 1995 segue le associazioni partendo dalla costituzione, passando per l'affiliazione ed il tesseramento, e gestendo la contabilità.
Da qualche anno, attraverso il gestionale 4gest, abbiamo implementato i servizi rendendo più semplice ed efficace la vita associativa dei sodalizi affiliati.