Gentilissime società, cari amici,
Dal prossimo 25 maggio entrerà in vigore il Regolamento Europeo 2016/679 in tema di tutela dei dati personali. In attesa che venga emanato un apposito decreto con cui il nostro legislatore cercherà di coordinare/armonizzare la normativa europea con quella nazionale, tenendo conto che, con tutta probabilità, il Garante italiano, come già avvenuto in Francia, potrebbe dichiarare un “grace period” di sei mesi durante il quale non verranno esercitati poteri di indagine, correttivi e sanzionatori, nel frattempo, come devono comportarsi i sodalizi sportivi dilettantistici?
Innanzitutto, indipendentemente dal rispetto del precedente codice sulla Privacy (D.lgs 193/2003), occorrerà raccogliere un nuovo consenso previa informativa sul trattamento dei dati personali. Trattasi di una dichiarazione con cui l'ASD/SSD, attraverso il legale rappresentante, informerà i propri associati e tesserati quali saranno i dati, in che modo verranno trattati, archiviati e, conseguentemente, chi ne verrà a conoscenza.
Eccone un esempio:
INFORMATIVA ex art 13 del Regolamento UE 2016/679
Gentile associato/tesserato
Premesso che
il titolare del trattamento è l'ASD……………… con sede in……………. codice fiscale……………….., mail………..;
il responsabile del trattamento, nella qualità di Presidente, è il Sig………………..;.
visto il D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) e il Regolamento Europeo 679/2016 (Regolamento Generale in materia di trattamento dei dati personali);
la informo che i Suoi dati personali (nome, cognome, data di nascita, residenza, mail, telefono) verranno comunicati e trattati ai soli fini dello svolgimento delle attività istituzionali previste statutariamente nonché per adempiere ad obblighi di legge. A tal proposito si evidenzia dunque che i dati potranno essere trasmessi alla FSN o EPS di riferimento, a consulenti fiscali , a studi legali, notarili, altre società, fornitori ecc e saranno conservati per il tempo necessario richiesto dal Coni o dalla propria FSN o EPS o dalle normative civilistico fiscali in vigore.
In ogni momento avrà diritto di verificare i Suoi dati, accertarsi se sono ben custoditi e revocare, in tutto o in parte, il consenso al trattamento degli stessi. Tali diritti potranno essere ecercitati con lettera raccomandata a.r. O utilizzando il suddetto indirizzo mail. Possibilità di proporre reclamo al Garante della Privacy.
Una volta che l’associato o il tesserato sarà stato informato occorrerà raccogliere il suo consenso. Il Garante della Privacy ha precisato che quello raccolto prima del 25/05 p.v. rimarrà valido purché conforme alle prescrizioni europee. Si precisa inoltre che, anche per i c.d “dati sensibili”, p.es relativi alla salute o all’origine razziale, il consenso dovrà essere esplicito. Non sarà dunque più necessaria una forma scritta che tuttavia, essendo l’unica modalità idonea a certificare l’inequivocabilità del rispetto della normativa, sarà bene adottare.
DICHIARAZIONE DI CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
Il sottoscritto………………….., letta l’informativa ex art 13 del Regolamento UE 2016/679, dichiara di essere stato informato sulle finalità e le modalità di trattamento cui sono destinati i dati, i soggetti a cui gli stessi potranno essere comunicati, anche in qualità di incaricati, nonché sul diritti di accesso ai dati personali forniti con facoltà di chiederne l’aggiornamento, la rettifica, l’integrazione e la cancellazione o opporsi all’invio di comunicazioni commerciali.
Per quanto sopra esprimo il mio consenso al trattamento dei miei dati personali nelle modalità e per le finalità strettamente connesse e strumentali ai fini statutari dell’associazione.
Si tenga ben presente che il consenso per i minori sarà valido a partire dai 16 anni e che tale limite potrà essere abbassato, fino a 13 anni, dalla normativa nazionale. Prima di tale età occorrerà acquisire il benestare dei genitori o di chi ne fa le veci.
E se ci si avvale di personale, anche volontario, di segreteria? Si potrebbe pensare di redigere una formale lettera di incarico:
Il sottoscritto……………………………………………….., legale rappresentante dell’ASD……………………….., nella qualità di responsabile del trattamento nomina incaricato al trattamento dei dati personali e sensibili il Sig……………….
Visto anche l’ormai consueto utilizzo di risorse software ed hardware (Microsoft Office, gestionale per fatture elettroniche PA, pc di segreteria ecc) si ritiene che potrebbe essere utile predisporre, “una tantum”, quindi valevole a tempo indeterminato e rinnovabile solo in caso di modifiche, un documento in cui definire, in modo univoco, tutte le informazioni necessarie per la gestione, il trattamento e la conservazione dei dati personali raccolti nell’ambito delle attività svolte dal sodalizio sportivo dilettantistico. Un obbligo in tal senso è già per'altro indicato al comma 5 dell'art 30 del Regolamento UE per cui, tra gli altri, anche le asd/ssd con più di 250 associati o tesserati dovranno redigere, in modalità cartacea o elettronica, un "registro delle operazioni di trattamento".
Nell'attesa che il legislatore italiano armonizzi il regolamento europeo con le disposizioni nazionali attraverso un apposito decreto legislativo, nonostante il probabile sopra accennato periodo semestrale di tolleranza, si raccomanda ai rappresentanti degli enti associativi di iniziare una ricognizione dei dati personali trattati al fine di accertarsi se, attraverso la predisposizione dei suddetti documenti, risulteranno adottate le misure idonee alla protezione dei dati (p.es antivirus, armadi chiusi a chiave ecc) a tutela dei diritti degli interessati, del caso associati e tesserati.
In considerazione della sanzioni particolarmente elevate, nonostante il presente intervento ed i fac simile sopra riportati, sarà dunque opportuno che ogni associazione prenda tempestivamente contatto con il proprio consulente o esperto in materia al fine di iniziare le idonee valutazioni ed avviare pertanto un particolareggiato piano di adeguamento per la tutela dei dati personali trattati.