Il 25 maggio 2018, in tutti gli Stati dellâUnione Europea, sarĂ introdotto il nuovo Regolamento europeo sulla privacy che porterĂ unâinnovazione significativa non solo a livello europeo ma globale. A partire da tale data qualsiasi organizzazione che gestisca informazioni personali dei cittadini residenti nellâUE dovrĂ adattarsi alla nuova normativa in materia di trattamento dei dati personali, sicurezza delle informazioni, processi di conformitĂ e relazioni contrattuali. La nuova norma, infatti, riguarda tutti coloro che conservano dati personali. Ciò include dipendenti, volontari, utenti di servizi, membri, sostenitori e donatori.
Cosa cambia
Consenso
- per i dati âsensibiliâ (âorigine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici e biometrici, dati relativi alla salute o alla vita sessuale o allâorientamento sessuale della personaâ articolo 9 del Regolamento)Â il consenso deve essere âesplicitoâ
- lo stesso vale per i trattamenti automatizzati (compresa la profilazione â articolo 22).
Non deve essere necessariamente âdocumentato per iscrittoâ. Anche se la forma scritta certifica in maniera inequivocabile il consenso dellâinteressato e per il titolare del trattamento dei dati personali che può in questo modo dimostrare che lâinteressato ha prestato il consenso a uno specifico trattamento.
Informativa
- Contenuti dellâinformativa: sono elencati negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento. Il titolare deve sempre specificare i dati di contatto del RPD-DPO â Responsabile della protezione dei dati (in inglese Data Protection Officer), se câè, la base giuridica del trattamento, qual è il suo interesse legittimo se questâultimo costituisce la base giuridica del trattamento, nonchĂŠ se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Il regolamento prevede anche ulteriori informazioni ânecessarie per garantire un trattamento corretto e trasparenteâ: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo allâautoritĂ di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), lâinformativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per lâinteressato.
- Tempi dellâinformativa: se i dati personali non sono raccolti direttamente dallâinteressato (art. 14 del regolamento), lâinformativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o allâinteressato).
- ModalitĂ dellâinformativa:Â lâinformativa deve avere forma concisa, trasparente, intelligibile per lâinteressato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58). Deve essere somministrata per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi âaltri mezziâ nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, lâutilizzo di icone per presentare i contenuti dellâinformativa in forma sintetica, ma solo âin combinazioneâ con lâinformativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta lâUe e saranno definite prossimamente dalla Commissione europea.
Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per lâesonero dallâinformativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dallâarticolo 23, paragrafo 1, di questâultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dallâinteressato, valutare se la prestazione dellâinformativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b). Ă opportuno, quindi, che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalitĂ di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati allâart. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dellâeventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere allâinterno di unâente indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensĂŹ parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dellâorganizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere unâaccurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.
Misure di sicurezza
Le misure di sicurezza devono âgarantire un livello di sicurezza adeguato al rischioâ del trattamento (art. 32, paragrafo 1).
Il Garante della Privacy per facilitare il passaggio alla nuova normativa ha pubblicato la Guida allâapplicazione del Regolamento europeo in materia di protezione dei dati personali >>
Strumenti e aggiornamenti
- Guarda la video lezione di VOLABO La tutela dei dati personali: nuove regole per la privacy >>
- Sito web del Garante per la protezione dei dati personali >>
- Leggi la notizia di CSVnet Lombardia “Regolamento Europeo Privacy: un vademecum per aiutare le associazioni ad adeguarsi” >>
- Vademecum “Privacy-trattamento dati personali â il nuovo GDPR” del Centro di Servizio per il Volontariato di Padova e Rovigo. Per poter accedere al vademecum è necessario accreditarsi nell’area riservata del Centro di Servizio per il Volontariato di Padova e Rovigo.
Per informazioni
luca.masi@volabo.it | T. 051340328
- Consulta la carta di servizi di VOLABO per conoscere le modalitĂ di accesso e le caratteristiche del servizio Orientamento di base sulla privacy >>
- VOLABO offre consulenza, assistenza qualificata e accompagnamento su diversi aspetti relativi alla gestione della vita di un ente del Terzo settore, Consulta i servizi di consulenza di VOLABO >>
Approfondimenti
Leggi gli aggiornamenti sulla riforma del Terzo settore e le altre normative di interesse per gli enti di Terzo settore nella sezione del portale di VOLABO denominata News dalla consulenza >>
Fonte  www.csvlombardia.it | Notizia pubblicata da VOLABO il 15/05/2018, aggiornata il 05/03/2019 e il 07/06/2022.
Le informazioni contenute in questo sito sono tratte dalle fonti ufficiali del portale della realtĂ che le ha pubblicate. Vengono ricontrollate piĂš volte e con cura dalla redazione. VOLABO non è responsabile di eventuali inesattezze dovute a sviste o cambiamenti di contenuti non tempestivamente segnalate. Si invitano i lettori a usare lâarea News dalla consulenza del portale di VOLABO come uno strumento di consultazione e di ricerca e di riferirsi alle fonti originali per reperire i contenuti e la documentazione ufficiale.