A cura di Mauro Giannarelli.
“Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016” o GDPR (General Data Protection Regulation)
Il GDPR è un Regolamento UE che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati (art.1).
Il GDPR definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, con l’ulteriore precisazione che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4 GDPR).
La disciplina introdotta dal Regolamento dovrà essere applicata ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano ad oggetto dati personali contenuti o destinati ad essere contenuti in archivi.
Con l’entrata in vigore del GDPR cessano tutte le normative nazionali sulla privacy in quanto dal 25 maggio si applica il Regolamento (UE) 2016/679 (o GDPR) vincolante per tutti.
Le modifiche introdotte con l’entrata in vigore del GDRP per le Pro Loco che acquisiscono direttamente i dati dei soci ai soli fini associativi della Pro Loco stessa, e che li utilizzano nel solo ambito associativo, senza trasmetterli a terzi, non sono significativamente diverse rispetto a quanto già dovevano fare.
“Titolare del trattamento” continua ad essere la Pro Loco, mentre il “Responsabile del trattamento” ovvero “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 38) può essere una figura interna od esterna alla Pro Loco che tratta i dati per conto del Titolare, che sia “in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato”, e deve essere nominato esclusivamente in forma scritta come previsto nell’art. 38 comma 3 e 4 cui si rimanda.
L’informativa da dare agli interessati è prevista negli art. 13 e 14.
Anche se l’informativa può essere data in molti casi in forma orale, è utile acquisire i dati dei soci con un modulo di adesione con cui oltre ad acquisire i dati dei soci si danno le informazioni richieste dal GDPR.
I dati da raccogliere non devono essere ridondanti rispetto a quelli necessari per il rapporto associativo, o per le finalità per cui si raccolgono.
Se si intende utilizzare successivamente i dati acquisiti per motivi diversi rispetto a quelli per cui sono stati raccolti e che sono stati comunicati all’interessato, o trasmetterli a terzi, è necessario informare nuovamente gli interessati e acquisire nuovamente il loro consenso.
Si ricorda che l’elenco dei soci non deve essere diffuso o trasmesso all’esterno della Pro Loco, e che i soci possono consultare l’elenco o registro soci, ma non hanno il diritto di farne copie in quanto nel caso di divulgazione all’esterno dei dati dei soci la Pro Loco e il suo Presidente in particolare quale legale rappresentante ne saranno responsabili.
Rispetto alle informazioni da dare prima dell’entrata in vigore del GDPR, occorre comunicare anche:
- i dati di contatto (indirizzo e-mail, e/o cellulare e/o telefono) del titolare del trattamento (Pro Loco) nonché del responsabile del trattamento (se nominato) o del RDP-DPO (se nominato) in quanto l’interessato al trattamento dei dati (es. il socio) deve essere messo in condizioni di poter identificare chiaramente e poter contattare i soggetti a cui spetta il trattamento dei suoi dati personali;
- il periodo di conservazione dei dati oppure i criteri seguiti per stabilire tale periodo di conservazione, es. “i dati saranno conservati per tutta la durata del rapporto associativo”;
- il diritto di poter presentare un reclamo all’autorità di controllo;
In particolare si deve modificare il riferimento generico alle “misure minime e idonee di sicurezza” non più ammesso.
E’ stata introdotta una nuova figura di responsabile: RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer). Questa figura non è obbligatoria per le Pro Loco, anche se possono istituirla, nel qual caso la devono indicare tassativamente nella informativa.
Nuovo diritto: Diritto di cancellazione (diritto all’oblio) (art.17)
Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari di informare della richiesta di cancellazione altri soggetti a cui i dati sono stati comunicati, in modo che sia cancellati dalle eventuali pagine web, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
L’interessato ha il diritto di chiedere la cancellazione dei propri dati anche dopo revoca del consenso al trattamento, oppure l’obbligo della cancellazione scatta quando il trattamento presso la pro loco non è più necessario.
E’ previsto dall’art. 30 un “REGISTRO DEI TRATTAMENTI” la cui tenuta è obbligatoria per aziende con più di 250 dipendenti. Tuttavia, se la Pro Loco per qualsiasi motivo con il consenso degli interessati trasmette a terzi dati personali da essa raccolti, è opportuno che tale registro venga attivato, in modo da sapere anche a distanza di tempo a chi e quali dati personali sono stati comunicati, in particolare se scatta la necessità di chiedere a terzi di cancellare i dati a suo tempo loro comunicati.
Il registro deve contenere come minimo queste informazioni:
- il nome e i dati di contatto del titolare del trattamento e, se nominato, del responsabile della protezione dei dati;
- le finalità del trattamento;
una descrizione delle categorie di interessati e delle categorie di dati personali; - le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti, la documentazione delle garanzie adeguate;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il consenso, ai sensi del GDPR, come già sotto la precedente disciplina del Codice della Privacy, deve sempre essere specifico, libero e inequivocabile: non è corretto e comporta una violazione del GDPR, quindi, l’utilizzo di caselle pre-spuntate sui moduli – sia cartacei che informatici – o l’uso di un’unica casella comprensiva di trattamenti aventi diverse finalità (ad esempio, per il consenso richiesto per adempiere ad un contratto e per l’invio di newsletter non può essere sufficiente un “flag” unico).
L’interessato infatti deve avere la possibilità di fare una scelta veramente autonoma e di poter rifiutare (o eventualmente revocare) il consenso senza subire conseguenze negative.
In particolare, poi, la richiesta di consenso deve essere chiara e facilmente identificabile e non deve confondersi con altre comunicazioni rivolte all’interessato (deve, cioè, essere chiaramente distinguibile da altre richieste).
Il GDPR pone attenzione particolare al consenso dei minori, valido solo se sono maggiori di 16 anni, altrimenti lo devono dare i genitori o chi ne fa le veci.
Anche se il GDPR non pretende che il consenso sia sempre rilasciato in forma scritta, questa è la modalità più idonea ed opportuna per raccogliere il consenso dell’interessato, non solo quando si richiede che lo stesso sia esplicito (come in caso di profilazione), ma anche perché è comunque il titolare del trattamento a doverne dimostrare l’inequivocabilità e la specificità, e avere traccia scritta del consenso rilasciato sarà sicuramente d’aiuto a tal fine. In particolare il consenso preventivo espresso per scritto è sempre necessario (lo era già prima) per comunicazioni di marketing o per promozioni commerciali effettuate anche attraverso newsletter (trattamenti automatizzati).
Non sono validi consensi generici (es. “consento l’invio di pubblicità”) ma il consenso deve essere acquisito caso per caso, tipologia per tipologia.
Anche per attivare da parte della Pro Loco una assicurazione personale sugli infortuni per i soci, se la attivazione della assicurazione comporta l’invio a terzi di dati personali dei soci (es. nome e cognome, luogo e data di nascita, ecc) è necessario fare una apposita comunicazione ai soci interessati con le informazioni richieste dal GDPR (lo scopo, a chi i dati saranno trasmessi, ecc) ed ottenere dai soci interessati il consenso preventivo per scritto.
Si ribadisce che, se la Pro Loco intende utilizzare i dati personali raccolti dai soci per una finalità diversa da quella per cui essi sono stati raccolti (rapporto associativo con la Pro Loco), prima di tale ulteriore trattamento, deve fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente ed occorre avere dall’interessato il consenso esplicito.
Si ribadisce, inoltre, che comunicare a terzi i dati dei soci (soggetti diversi dalla Pro Loco) o inserire i dati dei soci in data base esterni gestiti da terzi o a cui terzi possono accedere, o utilizzarli per comunicazioni a fini commerciali o per newsletter, o per l’invio di riviste, proposte di sconti commerciali ecc, sia direttamente che indirettamente attraverso soggetti terzi, richiede sempre un esplicito consenso scritto con specificato in modo chiaro e comprensibile a chi i dati si trasmettono e come saranno gestiti, il motivo o finalità per cui i dati si trasmettono, e ogni informazione utile a far si che l’interessato possa dare un consenso informato.
E’ stata introdotta particolare attenzione per la PROFILAZIONE (raccolta di dati idonei a fare un profilo della persona). In genere le pro loco non ne sono interessate, se raccolgono i dati dei soci a fini associativi.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato. Per la normale raccolta dei dati dei soci effettuata direttamente questo in genere non interessa.
E’ stato stabilito un termine massimo per rispondere all’interessato al trattamento nel caso che siano da lui esercitati dei diritti che richiedono una risposta da parte della Pro Loco: 1 mese
Ai sensi dell’art. 33 e 34 del GDPR, tutti i titolari di trattamento nel caso che vengano a conoscenza di una violazione dei dati personali oggetto di trattamento (ad esempio al verificarsi di una divulgazione dei dati -intenzionale o meno-, della distruzione, della perdita, della modifica o dell’accesso non autorizzato, anche a seguito di attacco informatico) dovranno valutare se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati, nel qual caso entro 72 ore (comunque senza ritardo) dovranno notificare all’autorità di controllo l’avvenuta violazione (vedasi art. 33 comma 3 per i contenuti).
Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertà degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo (art. 34).
Nel caso dei dati trattati normalmente dalle Pro Loco (dati personali strettamente necessari per il rapporto associativo) non si ritiene ci siano rischi tali da dover effettuare la notifica all’autorità di controllo o agli interessati, come sarebbe probabilmente necessario nel caso di dati particolarmente sensibili (a titolo di esempio dati sulla salute, sulle idee politiche o religiose, o le condanne subite).
In ogni caso si dovranno documentare le violazioni di dati personali subite, nonché le relative circostanze e conseguenze e i provvedimenti adottati (art. 33 paragrafo 5).
I consensi raccolti prima del 25 maggio sono validi solo se sono conformi alle nuove normative, altrimenti devono essere nuovamente acquisiti.