Privacy e Associazioni: hai redatto il DPS?

Privacy e Associazioni: hai redatto il DPS?

Un argomento spesso sottovalutato, in questa società “social”, è la tutela della privacy nel rispetto delle normative ex D.Lgs 196/2003.

Poco ci preoccupiamo di diffondere foto dei soci su internet, di impostare correttamente mailing list e comunicazioni via sms, ma invece dovremmo essere più attenti!

Sui moduli di iscrizione (verifica se c’è) viene sempre indicata una dicitura tipo: “Esprime il proprio consenso alla trattazione, comunicazione e diffusione dei dati personali rilasciati in data odierna per gli usi interni dell’associazione, in conformità al D.Lgs 196/2003 (Trattamento dati personali)“.

SAI COSA SIGNIFICA?

tastieralucch

La legge impone che qualunque individuo abbia diritto alla riservatezza dei propri dati personali. All’atto di iscrizione, queste informazioni sono rilasciate dal socio, esclusivamente per le necessità sociali (tesseramento, affiliazioni, comunicazioni inerenti le attività…). Quindi un’associazione deve proteggere i dati personali dei proprio soci, non può comunicarli o venderli ad altri, né tanto meno usarli per fini non statutari.

Allo stesso tempo il socio, quando firma, deve essere a conoscenza di:

  • chi detiene i dati;
  • chi li elabora;
  • come può ottenere modifiche e cancellazione di questi dati (il socio può richiedere in qualsiasi momento la rimozione dei propri dati personali, oppure può chiederne modifica);

Ma soprattutto, un socio potrebbe agire per vie legali nel caso in cui venisse accertato che i suoi dati personali non sono stati trattati in modo conforme alla legge e a quanto dichiarato negli scopi statuari dell’Associazione stessa (per esempio comunicati ad altri o conservati in maniera poco sicura). 
Ricorda anche che l’onere della prova, in caso di controllo, è in capo alla tua associazione!
Sarai tu a dover dimostrare che non sei in torto!

Riassumendo la questione, ogni associazione è coinvolta nella normativa privacy, visto che si trova a dover trattare dati sensibili (anagrafici) ma anche super sensibili (certificati medici).

La normativa impone tre figure fondamentali: il TITOLARE, il RESPONSABILE, l’INCARICATO del trattamento dei dati:

  • La prima, normalmente, è rappresentata dall’Associazione stessa.
  • La seconda, salvo delibere diverse, è il Presidente, che risponde delle eventuali violazioni.
  • La terza, se nominato, è chiunque sia autorizzato dal direttivo, ad elaborare i dati sensibili.
Se i dati dei soci sono gestiti esclusivamente dal Presidente, che riceve e gestisce iscrizioni, affiliazioni, eccetera, non sei escluso dalla problematica: egli è automaticamente autorizzato, ma va sempre predisposta una “informativa privacy” da esporre ai soci. Questo documento, anche chiamato DPS (Documento Programmatico sulla Sicurezza), deve rispettare rigorosi parametri normativi.
Mentre se queste procedure sono svolte anche da altri (incaricati, segretari, receptionist) è necessario redigere un apposito documento di nomina. A queste persone dovranno essere contestualmente comunicate anche le giuste procedure di trattamento dati.
 
E’ importante anche adottare misure minime di sicurezza legate ai luoghi di archiviazione dei dati e alle persone che li maneggiano (locali ad accesso riservato, archivi chiusi a chiave, password di accesso al computer, ecc.)
Naturalmente, tutto deve essere opportunamente verbalizzato da parte del Consiglio Direttivo, nonché certificato da un metodo di “DATA CERTA” e reso disponibile alla visione, magari anche sul sito internet dell’associazione!
 
lucchettotast

Sono sicuro che almeno una volta ti è successo di aver affidato ad altri alcuni piccoli compiti amministrativi; essere beccato in quel momento, senza le opportune procedure di nomina e di sicurezza, apre tremendi scenari in ambito PENALE.

Quindi, devi rapidamente predisporre i necessari documenti: potresti fare da solo, studiando la normativa e realizzando un tuo documento. Visti i rischi, però, non te lo consigliamo!

Affidati a chi è già esperto: scrivici una mail per chiedere il nostro aiuto, indicando nell’oggetto “redazione DPS”.
In tempi “immediati”, ti risolveremo la pratica.

 Importante: il documento va realizzato “una tantum”, ovvero la prassi non dovrà essere ripetuta fino a quando non ci sarà da cambiare responsabili e/o incaricati con compiti di segreteria. 
 

Dubbi? commenta qui sotto, ti daremo ulteriori delucidazioni!

Qui troverai le principali informazioni diffuse da Garante della Privacy.

4 commenti su “Privacy e Associazioni: hai redatto il DPS?”

    • sig. Raffaele, la sua affermazione è inesatta.
      Seppure dal periodo d’imposta 2012 sia soppresso l’obbligo di redazione annuale del DPS, la circolare del Garante del 6/2016 indica che anche in assenza di un D.P.S. devono comunque essere identificati e nominati PER ISCRITTO gli Incaricati del Trattamento dati ed eventuali Responsabili dei dati interni o esterni all’azienda. Ciò conferma quanto da noi riportato nell’articolo.
      E’ utile evidenziare come il Titolare dei dati sia tenuto a norma di codice (Artt. 31 e 33) ad adottare sempre e comunque le “misure minime” di sicurezza (sia per i dati comuni che per i dati sensibili e/o giudiziari) richieste dal Codice PRIVACY affinché venga tutelata la riservatezza e la sicurezza dei dati personali contenuti negli archivi, siano questi archiviati elettronicamente o in qualunque altro modo, incluso il cartaceo.
      L’omissione di queste misure comporta per il Titolare dei Dati delle pesanti sanzioni economiche oltre che una responsabilità penale a norma dell’art. 169 del codice Privacy.

      A questo link è possibile scaricare la circolare 6/2016 —> http://asdfiscosicuro.it/circolare-6_2016-dps/

Lascia un commento