GDPR: 10 domande & risposte di approfondimento

Nello scorso articolo abbiamo visto cosa è cambiato nel settore olistico dal 25 maggio 2018 con l’entrata in vigore della nuova disciplina in materia di privacy. I nostri consulenti hanno preparato una lista con le 10 domande più frequenti che gli operatori olistici e le associazioni potrebbero avere sul tema del GDPR.

10 Domande e Risposte sul GDPR

Cosa si intende per trattamento dei dati?

Il trattamento dei dati consiste in qualsiasi operazione, eventualmente compiuta con processi automatizzati o telematici, riguardante dati personali come ad esempio la raccolta, la registrazione, la conservazione, la modifica, la consultazione, l’uso, la comunicazione o diffusione, la cancellazione o la distruzione.

Quindi per fare alcuni esempi la compilazione dei moduli di adesione ad una associazione comporta trattamento dei dati, così come l’emissione di una fattura a favore del cliente. Infatti, in tutti questi casi l’operatore o l’associazione vengono a conoscenza dei dati dell’interessato e li utilizzano e archiviano nei propri sistemi informatici o cartacei.

In assenza di attività volte a raccogliere e/o utilizzare dati personali non è necessario attuare la normativa sulla privacy, come ad esempio nel caso di un sito che presenti le attività dell’associazione senza richiedere la registrazione degli utenti.

Chi è il Titolare del trattamento e cosa deve fare?

Il Titolare del trattamento è il soggetto che determina le finalità del trattamento ed è tenuto a mettere in essere tutte le misure richieste dal GDPR al fine di tutelare la privacy delle persone fisiche con cui viene in contatto.

Nel caso di società o associazioni è sempre l’ente giuridico -in nome del legale rappresentante-ad essere qualificato titolare.

Chi è il Responsabile del trattamento?

La definizione di responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Ciò significa che tra il Titolare e il Responsabile ci deve essere un preciso rapporto in base al quale il titolare è tenuto a comunicare i dati al responsabile. In pratica, è la persona che tratta dati personali per conto dell’associazione come il commercialista, il consulente del lavoro, un consulente, i fornitori di servizi digitali, etc.

Il responsabile è da considerarsi solo “esterno” all’associazione; pertanto non è possibile nominare un socio, un dipendente o un collaboratore come responsabile del trattamento dei dati. L’art. Articolo 28, comma. 3, del GDPR prevede l’obbligo di stipulare un contratto tra titolare e responsabile del trattamento, dettagliando i suoi contorni e stabilendo requisiti rigorosi sugli aspetti severi e più importanti.

E’ verosimile che il commercialista o altro consulente a cui si rivolge l’associazione abbia già un suo modello da utilizzare per i casi in cui tale designazione è necessaria, quindi è possibile rivolgersi direttamente a tale soggetto.

Quando deve essere nominato il DPO?

Il Responsabile della protezione dei Dati o Data Protection Officer (DPO) è un soggetto, anche dipendente del titolare del trattamento, ma dotato di particolari poteri di autonomia, che deve essere nominata nei seguenti casi:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (c.d. dati sensibili).

Tendenzialmente, quindi, le associazioni e gli operatori soci di CONACREIS, non dovrebbero essere soggetti a tale obbligo di nomina. In caso di dubbio è necessario richiedere una consulenza.

Cos’è il Registro dei trattamenti e quando deve essere adottato?

l registro delle attività di trattamento elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento. Ogni titolare del trattamento di dati dovrà tenere un registro delle categorie di trattamento dei dati personali implementati sotto la sua responsabilità.

Tale obbligo non vige per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.

Tendenzialmente, quindi le associazioni e gli operatori soci di CONACREIS, non dovrebbero essere soggetti a tale obbligo. In caso di dubbio è necessario richiedere una consulenza.

Come deve comportarsi l’associazione nei confronti dei soggetti incaricati a trattare i dati?

E’ importante istruire e dare indicazioni ai soggetti incaricati di trattare i dati rispetto alle misure da adottare per la protezione dei dati personali. Alcuni esempi sono: l’utilizzo di password alfanumeriche da cambiare periodicamente per la protezione dei PC; non lasciare documenti e/o dati incustoditi sopra a tavoli e scrivanie; chiudere sempre a chiave gli archivi, le stanze, etc.; non divulgare a terzi i dati degli interessati; etc.

Con la nuova normativa GDPR, cosa devo fare relativamente al sito internet?

Nel caso in cui il sito internet richieda la registrazione dell’utente è necessario adeguare l’informativa già presente sul sito secondo la normativa del GDPR.

Per quanto tempo devo mantenere la documentazione in archivio?

Ogni titolare del trattamento deve definire una politica di durata e di conservazione dei dati. Per quanto riguarda le associazioni, i dati dei soci saranno conservati, come minimo, per tutta la durata del rapporto associativo e comunque per il tempo stabilito dalle vigenti disposizioni in materia civilistica e fiscale.

Ad oggi, poiché è difficile stabilire con esattezza la durata del trattamento e in assenza di prassi consolidate, è possibile inserire nell’informativa dichiarazioni “generiche” come quelle indicate nell’esempio.

Condivido una stanza in uno studio, oppure l’associazione ha sede in un luogo condiviso con altre associazioni, cosa devo/dobbiamo fare?

In tali casi è necessario che si adottino misure affinché i dati raccolti da ciascun titolare siano tutelati da possibili violazioni. Alcuni possibili esempi sono: ciascun titolare ha a disposizione una stanza che chiude a chiave e il cui accesso è vietato ai non autorizzati; ciascun titolare ha a disposizione un apposito armadietto a uso archivio, munito di chiave o lucchetto, apribile solo dal titolare o da un suo incaricato; gli incaricati al trattamento hanno l’indicazione di non lasciare documenti incustoditi su tavoli e scrivanie; etc.

Non appare invece essere una buona pratica l’asportazione dei documenti e la conservazione presso l’abitazione dell’operatore olistico, in quanto il rischio di perdita o violazione dei dati è assai elevato in questo caso.

Cosa sono i “dati sensibili”?

Essi sono una particolare categoria di dati personali per i quali la legge prevede una disciplina specifica.

Sono dati “sensibili” quelli che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, oltre ai dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

GDPR: cosa devo fare nel mio caso specifico?

Se dovessi avere bisogno di capire cosa fare nel tuo caso specifico, puoi richiedere una consulenza personalizzata scrivendo a consulenza@conacreis.it.