Il prossimo 25 maggio entrerà in vigore il Regolamento UE 2016/679 GDPR – General Data Protection Regulation ossia una regolamentazione Privacy armonizzata in tutta Europa che sostituirà l’attuale D.lgs. 196/2003.

Nessuna associazione, azienda o professionista è esclusa dalla nuova normativa, anche se di dimensioni minime, in quanto il punto nodale è se vi sia o meno il trattamento di dati personali o di dati sensibili.

Tutte le associazioni quindi sono obbligate ad adottare le procedure previste dal nuovo GDPR in quanto sono quantomeno a conoscenza dei dati anagrafici dei propri soci.
Si attendeva un decreto attuativo del Regolamento entro il 21 marzo 2018 al fine di adeguare la normativa italiana al GDPR, ma non è mai stato emanato.
Si consiglia di adottare un nuovo Modulo Privacy da far sottoscrivere ai soci che sia separato da altri moduli e quanto più completo possibile in merito alla nuova normativa, mentre i dati che devono essere raccolti devono essere solo le informazioni minime necessarie all’ente.

Si consiglia quindi di non utilizzare più ad esempio i classici moduli di iscrizione che hanno un breve richiamo alla Privacy di poche righe, ma di creare un nuovo modello standard nel quale siano scritti con chiarezza i diritti del soggetto e l’uso che viene fatto dei dati raccolti.

Il modulo dovrà essere creato basandosi sui seguenti elementi:
•    l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
•    le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
•    qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
•    gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
•    il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
•    l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
•    qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
•    il diritto di proporre reclamo ad un’autorità di controllo;
•    se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

Quanto ai dati sanitari, l’associazione non dovrebbe trattarli poiché sono di pertinenza del medico sportivo e quindi spetta a lui effettuarne la raccolta, il trattamento e l’archiviazione secondo le regole che già ora sono vigenti e che saranno integrate con la normativa europea.

Sarà come sempre nostra cura aggiornarvi in futuro, in particolare non appena verrà emanato il decreto legislativo di cui si è detto sopra.

dottor Umberto Ceriani

www.consulenza-associazioni.com