Notizie

Regolamento Europeo Privacy: cosa è e come adeguarsi

Il nuovo G.D.P.R. è entrato in vigore nel maggio 2018: che cambia per le Associazioni Sportive? Ce lo spiega Alessandro Orlandi di Privacycert Srl



Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea. Ne parliamo con l’European Auditor Certificato AICQ SICEV Alessandro Orlandi di Privacycert Srl.


Image title


Cosa prevede il Regolamento Generale sulla Protezione dei Dati?

"Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrato in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea è un testo che prova a uniformare le leggi europee sul trattamento dati e il (nostro) diritto a essere in pieno controllo delle informazioni che ci riguardano. Si compone di 99 articoli e istituisce alcune novità come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità » dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore). Due sono gli obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale".


Cosa cambia per le Associazioni Sportive?

"Le Società Sportive e le Associazioni Sportive dilettantistiche, che finora erano 'esenti' da alcuni adempimenti Privacy, dovranno tenere in considerazione il G.D.P.R. e prestare un’adeguata attenzione al trattamento dei dati particolari (ex dati sensibili) dei propri associati oltre ad evidenziare le finalità del trattamento e il tempo di conservazione dei dati stessi. Altro aspetto particolarmente delicato, il contenuto precettivo di tale Regolamento riveste notevole rilevanza in relazione al fatto che la maggior parte dei soggetti che svolgono attività sportiva per le Associazioni e le Società sportive dilettantistiche in Italia, sono minorenni. Per il trattamento dei dati personali (comuni e particolari) di tali soggetti, la normativa europea prevede una specifica protezione, ovvero il necessario consenso (informato, positivo, libero e specifico) anche del genitore o di chi ne esercita la tutela".


In definitiva quali sono gli adempimenti per le Società Sportive?

"In definitiva, le Società Sportive e le Associazioni Sportive Dilettantistiche, devono:
a) Verificare il contenuto delle informative rese agli interessati e le modalità di acquisizione del consenso al trattamento e, specialmente se si tratta di minori, sincerarsi che queste contengano i requisiti minimi previsti dal GDPR; in difetto, è necessario procedere all’adeguamento nel minor tempo possibile.
b) Adottare un modello di gestione della Privacy e dotarsi dei meccanismi di controllo delle procedure, al fine di garantire a tutti gli associati tutela e protezione nel trattamento dei dati e di permettere loro, altresì, di esercitare i diritti introdotti dal Regolamento. Il mancato adeguamento al GDPR UE 2016/679, comporta rilevanti sanzioni amministrative e penali. Vengono puniti il mancato rispetto delle regolari procedure di informazione, acquisizione, conservazione, elaborazione, trasmissione e gestione dei dati. Le Società Sportive e le Associazioni Sportive Dilettantistiche, che detengono dati personali (comuni e particolari) di dipendenti, soci, volontari, atleti, allenatori e altri, dovranno adeguarsi alle nuove disposizioni facendo un’analisi della propria situazione rispetto ai dati gestiti, individuando le aree di intervento ed attivando le misure tecniche ed organizzative necessarie. In particolare, per evitare pesanti sanzioni, ciascuna società dovrà essere in grado di dimostrare che l’assetto organizzativo prescelto sia adeguato, adottando un modello organizzativo privacy articolato e completo, nel rispetto di quanto statuito dal GDPR".


Image title


Quali sono i diritti degli interessati?

"I nuovi diritti dei cittadini sanciti dal Gdpr sono:

  • a) La richiesta del consenso, che deve essere sottoposta agli utenti in modo chiaro, quando questi devono rendere disponibili alcuni dei propri dati personali per accedere a un servizio in cui devono apparire la finalità dell’uso dei dati raccolti, il nome del titolare del trattamento, la durata della conservazione dei dati e gli eventuali altri destinatari che avranno accesso agli stessi.

b) La tutela della libertà del consenso prestato da parte dell’utente. Non è raro che alcuni servizi online richiedano a chi ne fa uso dati per nulla necessari alle finalità del servizio. Occorre quindi che agli utenti sia data la garanzia di modificare o annullare il consenso.

c) Il divieto di trattare alcune tipologie di dati. Si tratta per lo più di informazioni riguardo l’etnia degli utenti, le loro convinzioni politiche o religiose, il loro orientamento sessuale o l’appartenenza a categorie o associazioni. Questi dati possono essere forniti ma chi ne fa richiesta deve somministrare all’utente un’apposita richiesta.

d) Il diritto di accesso. Gli utenti devono essere messi in grado di sapere in quale modo sono stati utilizzati i propri dati e gli deve essere data possibilità di limitarne l’uso, di rettificarli e di sporgere reclami alle autorità di supervisione. Le organizzazioni hanno il dovere di fornire agli utenti le informazioni, è uno dei compiti del titolare del trattamento dei dati.

e) Il diritto alla cancellazione dei dati, il diritto all’oblio, è parte centrale del Gdpr, così come lo è il diritto di limitarne il trattamento o la volontà dell’utente di portare i dati da un titolare a un altro, senza che quello attuale possa opporre resistenze. Allo stesso modo un cittadino, senza bisogno di motivi particolari, può opporsi in qualsiasi momento al trattamento dei dati personali".


E se si viola il regolamento?

"Se si viola il regolamento, scattano delle sanzioni. Salate. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese o il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del fatturato, sempre per le aziende e sempre in rapporto al giro d’affari. Per farsi un’idea, il Garante alla privacy è riuscito a incassare nel 2015 poco più di 3,3 milioni di sanzioni. La multa più “leggera” (10 milioni o 2% del fatturato) viene infl itta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del fatturato) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati".


Ultima domanda. E' prevista una proroga?

"Nonostante l’ampiezza del Regolamento, le Società e le Associazioni dovranno iniziare a rispettare numerosi obblighi e questa volta non sono previste né deroghe né proroghe".


Le soluzioni?

"Il Regolamento Europeo non è, quindi, una somma di adempimenti burocratici formali da adempiere, ma un modus operandi effettivo e che sia dimostrabile. In particolare le Società Sportive e le Associazioni Sportive Dilettantistiche, in qualità di titolare del trattamento dovranno mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (principio di responsabilizzazione)".