In seguito all’entrata in vigore della nuova normativa sulla protezione dei dati, anche le Associazioni dovranno conformarsi ai nuovi adempimenti previsti.
Il Centro Territoriale per il Volontariato ha, così, predisposto una serie di servizi ad hoc per accompagnare e supportare le Associazioni interessate.
Fin da subito, sarà attivato un servizio di consulenza specifico sulle tematiche della privacy con un legale che analizzerà e valuterà le varie richieste da parte delle Associazioni. Per richiedere tale servizio, è necessario contattare Silvia Amaturo (silvia.amaturo@centroterritorialevolontariato.org) e concordare con lei l’attivazione del servizio (secondo le modalità previste dalla Carta Servizi CTV in merito alle consulenze esterne).
In un secondo tempo (nell’ambito della programmazione dei servizi del secondo semestre 2018), CTV organizzerà una serie di incontri informativi sul territorio dedicati a queste tematiche, predisponendo un percorso formativo ad hoc per le Associazioni, per chiarire eventuali dubbi e approfondire insieme la normativa relativa al GDPR.
Per introdurre le tematiche sulla privacy, ecco un piccolo sommario con le principali informazioni utili e alcuni punti salienti del nuovo regolamento predisposto per CTV dall’Avvocato Giacomo Ubertalli dello Studio Legale Associato LTA – Legal & Tax Advisors.
Con l’acronimo GDPR (General Data Protection Regulation) si intende il Regolamento dell’Unione Europea n. 2016/679 con cui è stata rinnovata la disciplina nazionale e comunitaria in materia di trattamento dei dati personali.
Il GDPR è entrato in vigore il 25 maggio 2018 e sarà immediatamente applicabile, sia sul territorio italiano che in tutti i paesi dell’Unione Europea.
Cosa riguarda?
Il GDPR detta una nuova disciplina in materia di trattamento di dati personali e di libera circolazione degli stessi. Il Regolamento, inoltre, ridefinisce i diritti della persona rispetto ai propri dati personali, in particolare quelli connessi alla loro protezione.
É bene sapere che per dato personale si intende soltanto quello riferito a persone fisiche e non si estende alle persone giuridiche, quali associazioni, fondazioni, società, enti pubblici, ecc.
Il “vecchio” D.Lgs. n. 196/2003 non andrà in pensione ma sarà a breve modificato ed armonizzato con il GDPR. Inoltre, esso continuerà ad applicarsi alle attività di raccolta e trattamento di dati eseguite sino al 25 maggio 2018; tali attività, se realizzate in conformità con il vecchio Codice della Privacy, rimarranno valide e legittime ed i dati raccolti non dovranno essere eliminati.
Quali sono le novità che riguarderanno professionisti ed imprese?
Le novità del GDPR sono numerose e differiscono a seconda della dimensione del titolare del trattamento, della tipologia di trattamento, della quantità di dati raccolti e della modalità del loro utilizzo.
In sintesi, le novità più rilevanti riguardano:
- l’obbligo di informativa: è previsto per qualunque titolare del trattamento. Tutte le attuali informative dovranno essere sostituite o integrate con i nuovi contenuti previsti dall’art. 13 del Regolamento;
- i dati “sensibili” diventano dati “particolari”: per essi si intendono quei dati che idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Per essi la regola generale rimane quella dell’obbligatorietà dell’autorizzazione al trattamento;
- profilazione del dato: con essa si intende qualsiasi forma di trattamento automatizzato consistente nell’utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica. La profilazione richiederà, oltre ad una specifica informativa, anche un’espressa autorizzazione da parte del titolare del dato;
- nomina del DPO (Data Protection Officer), obbligatoria solo per enti pubblici oppure nel caso di trattamento sistematico di dati fondato sul monitoraggio regolare e sistematico degli interessati su larga scala, oppure nell’ipotesi di trattamento su larga scala di particolari categorie di dati, idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale;
- misure di sicurezza: scompaiono le misure minime previste dal vecchio Codice della Privacy. Ogni titolare del trattamento dovrà infatti approntare le misure che ritiene più adeguate alla protezione dei dati raccolti e trattati, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento e anche dei costi di attuazione di tali misure;
- il sistema sanzionatorio.
Altre novità rilevanti, che tuttavia riguarderanno solo le realtà di dimensione medio-grande o particolari casi di trattamento, sono rappresentante dal Registro delle attività di trattamento e la Valutazione d’impatto sulla protezione dei dati.
In sintesi, alla luce delle novità, ciascun titolare del trattamento di dati personali è chiamato a cambiare mentalità e non solo ad adeguare oggi le proprie modalità di informazione dei terzi e di gestione dei loro dati alle nuove modalità operative sulla base della propria realtà d’impresa o professionale, ma dovrà successivamente verificare che quelle modalità così adottate restino adeguate ai cambiamenti ai quali la sua attività e le condizioni esterne andranno inevitabilmente incontro.