La Federciclismo Nazionale ha emesso un comunicato inerente il nuovo Regolamento 2016/679 (GDPR) sulla protezione dei dati personali, entrato in vigore a livello Europeo il 24 maggio 2016 è le cui norme sono applicabili dal 25 maggio 2018, volto a chiarire l’impatto delle nuove regole europee privacy sulle Associazioni Sportive Dilettantistiche affiliate.
Riportiamo di seguito il comunicato.
Impatto delle nuove regole europee privacy sulle Associazioni Sportive Dilettantistiche affiliate
Spett. Società –
Come oramai molti sanno il 24 maggio 2016 è entrato in vigore a livello Europeo il nuovo Regolamento 2016/679 (GDPR) sulla protezione dei dati personali le cui norme sono applicabili dal 25 maggio 2018.
Il GDPR innova profondamente la materia della protezione dei dati non solo per il singolo cittadino ma anche per aziende, enti pubblici, liberi professioni e semplici associazioni. Per questo motivo il nuovo regolamento interessa la Federazione Ciclistica Italiana ma anche le singole società/associazioni sportive dilettantistiche affiliate.
Il legislatore ha voluto introdurre regole più chiare in merito all’informativa, al consenso ed al trattamento dei dati personali e sensibili.
I concetti sui quali si basa il nuovo regolamento sono quelli di:
Dato personale: i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
Trattamento del dato: Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
E’ sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personali.
Come possiamo vedere dai due concetti appena espressi sia la FCI che le società affiliate rientrano pienamente negli ambiti indicati. Per i tesseramenti le società raccolgono i dati e li trasmettono alla FCI. Pertanto sia le società/associazioni affiliate che la FCI sono titolari sia della raccolta in quanto i dati sono raccolti dalla società e registrati nel sistema informatico federale, che del trattamento in quanto i dati sono conservati sia dalla società, che può sempre consultarli ed utilizzarli per gli scopi previsti, che dalla FCI per gli stessi scopi.
Consenso ed informativa.
Al fine di poter raccogliere e trattare i dati personali dei tesserati è necessario ottenerne il consenso informandoli sugli scopi della raccolta e sulle modalità del trattamento.
Consenso
Si dovrà raccogliere il consenso scritto che sarà valido se all’interessato è stata fornita l’informativa e se il consenso è stato espresso liberamente in riferimento ad un trattamento chiaramente individuato.
Informativa
L’informativa deve spiegare in modo chiaro, semplice e comprensibile:
a) le finalità e le modalità del trattamento dei dati personali
b) se il conferimento dei dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
d) a chi saranno comunicati i dati e se i dati saranno oggetto di diffusione;
e) il periodo di conservazione dei dati
f) le categorie dei dati trattati
g) la base giuridica del trattamento
h) i diritti degli interessati
i) i dati del Titolare del trattamento e del Responsabile della protezione dei dati ( DPO) se nominato
Come già sopra evidenziato società/associazioni affiliate e FCI sono soggetti, che per la loro attività, rientrano nell’ambito di applicazione della normativa GDPR e che quindi oltre a fornire l’informativa ed acquisire il relativo consenso degli interessati devono necessariamente effettuare anche altri importanti adempimenti previsti dal GDPR come, tra i più importanti, la tenuta di un Registro dei trattamenti e l’effettuazione di una valutazione dei rischi che incombono sui dati o sui diritti e le libertà degli interessati, adottando misure organizzative e tecniche adeguate ad evitare i suddetti rischi tra cui la formazione del personale.
Come sta agendo la FCI a tutela degli affiliati oltre che della stessa federazione.
Per l’attività di raccolta dei dati personali e per il trattamento effettuato sugli stessi le società/associazioni affiliate non possono non essere titolari del trattamento così come lo è la stessa FCI, pur se questa riceve questi dati dalle società/associazioni affiliate e non direttamente dal tesserato.
Del resto è lo statuto del Coni che impone il tesseramento per tramite delle società/associazioni affiliate ed è inevitabile che queste siano il tramite per la raccolta dei dati.
E’ da considerare infine che sia le finalità (partecipazione alle manifestazioni sportive, giustizia sportiva, antidoping ecc.) che i mezzi del trattamento (sistema informatico ksport) non sono determinate esclusivamente dalla associazione ma in condivisione con la FCI. Si configura quindi il caso per il quale “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento” e quindi sono considerati “contitolari”.
Perché la contitolarità può aiutare le società affiliate.
Tramite l’accordo di contitolarità vengono descritti dettagliatamente tutti gli adempimenti che spettano alle società/associazioni affiliate e che quelli che spettano alla FCI.
La FCI provvederà a fornire alle società/associazioni affiliate il modello di informativa e consenso, a mettere in atto tutte le misure di sicurezza adeguate a proteggere le informazioni presenti ne data base KSPORT, nonché a rappresentare il punto di contatto per gli interessati per l’esercizio dei propri diritti. FCI adeguerà le modalità di tesseramento alle normative attuali e fornirà alle società/associazioni affiliate le indicazioni necessarie alla conservazione dei dati e le misure da adottare per la protezione dei dati.
Nonostante tutto è inevitabile che anche le società/associazioni affiliate saranno comunque responsabili per i dati che trattano e per questo la FCI si sta impegnando per fornire tutte le indicazioni e gli strumenti adeguati a gestire raccolta e trattamento in sicurezza ma anche con tranquillità.
I prossimi passi.
Entro trenta giorni le società/associazioni affiliate riceveranno l’accordo di contitolarità che dovrà essere firmato e restituito alla FCI.
Contestualmente le società/associazioni affiliate riceveranno la nuova informativa, la modulistica e tutte le indicazioni necessarie alla raccolta dei dati.
Le procedure di tesseramento verranno modificate in modo che sarà possibile associare a ciascun tesserato il proprio consenso informato.
Verrà fornito infine un vademecum contenente tutte le misure necessarie alla conservazione dei dati presso la propria sede, sia che questi siano raccolti e conservati in forma cartacea che in digitale su supporto informatico.
Una apposita sezione del sito federale sarà dedicata a questo argomento.
Speriamo con questa prima comunicazione di aver dato qualche risposta ai numerosi dubbi che le società/associazioni affiliate hanno espresso in questi giorni.
Al più presto invieremo tutte le indicazioni e la documentazione necessaria.
Buon lavoro
Be the first to comment on "GDPR e Associazioni Affiliate"