In qualità di responsabili del trattamento ai sensi dell'art. 4 n. 7 del GDPR, le associazioni sono tenute a soddisfare tutti i requisiti di protezione dei dati e a dimostrarne la conformità (art. 5 par. 2 del GDPR - responsabilità). L'attuazione pone regolarmente notevoli sfide pratiche, soprattutto per le associazioni più piccole e volontariamente organizzate. Le spiegazioni che seguono riassumono i principali obblighi dell'associazione.
Liceità del trattamento dei dati
La base giuridica centrale per il trattamento dei dati nell'associazione è l'art. 6 par. 1 lett. b GDPR - l'adempimento del contratto di associazione, specificato dallo statuto dell'associazione. Inoltre, il trattamento può essere giustificato da interessi legittimi (art. 6 cpv. 1 lett. f) GDPR) o dal consenso (art. 6 cpv. 1 lett. a GDPR). Questi ultimi sono necessari in particolare se i dati vengono elaborati o pubblicati al di là degli scopi associativi (ad es. foto, elenchi di compleanni, appelli per donazioni via e-mail). Il consenso deve essere volontario, informato, inequivocabile, destinato e revocabile in qualsiasi momento. Deve essere documentato per iscritto o in formato elettronico e non deve essere nascosto in dichiarazioni generiche.
Quando si trattano categorie particolari di dati personali (art. 9 GDPR) - ad esempio i dati sulla salute - è regolarmente richiesto il consenso esplicito. Questo vale tipicamente per i gruppi di auto-aiuto, i sindacati o le associazioni religiose.
Responsabilità organizzativa nell'associazione
Il consiglio direttivo dell'associazione è legalmente ed effettivamente responsabile del rispetto delle norme sulla protezione dei dati (art. 26 (1) frase 2 BGB in combinato disposto con l'art. 24 GDPR). Deve adottare misure tecniche e organizzative adeguate per garantire la legittimità del trattamento dei dati.
Ciò include anche la delega di compiti, per i quali deve essere garantita un'attuazione conforme alla protezione dei dati. Anche in caso di delega, la responsabilità generale rimane in capo al Consiglio di amministrazione.
Obblighi di riservatezza e di informazione
Tutte le persone incaricate del trattamento dei dati personali all'interno dell'organizzazione devono essere obbligate a mantenere la riservatezza. Sebbene il GDPR non contenga una disposizione corrispondente alla Sezione 5 del BDSG (vecchia versione), è necessario un impegno documentato a rispettare i principi di protezione dei dati di cui all'Art. 5 comma 1 del GDPR.
Inoltre, è necessario garantire che le persone interessate - in particolare i soci, i volontari e i fornitori di servizi - siano informate sul trattamento dei loro dati ai sensi degli articoli 13 e 14 del GDPR. Questi obblighi di informazione dovrebbero essere integrati nel modulo di adesione, per cui si raccomanda un'informazione successiva per le adesioni esistenti.
Sicurezza del trattamento nell'organizzazione
La sicurezza del trattamento dei dati personali è un principio centrale del Regolamento generale sulla protezione dei dati. Ai sensi dell'art. 32 del GDPR, i responsabili del trattamento - comprese le associazioni - sono obbligati ad adottare misure tecniche e organizzative adeguate (TOM) per garantire un livello di protezione adeguato al rischio. Tali misure devono essere riviste regolarmente e adattate se necessario.
Le misure tecniche di protezione sono, ad esempio crittografia dei dati memorizzati e trasmessi (ad esempio, crittografia di trasporto e end-to-end per le e-mail), protezione con password e autenticazione a due fattori per l'accesso ai dati dei membri, aggiornamenti regolari della sicurezza e software antivirus, account utente separati per i sistemi condivisi, meccanismi di blocco automatico in caso di inattività.
Le misure organizzative dell'associazione comprendono: un concetto di autorizzazione e di ruolo chiaramente regolamentato per l'utilizzo dei dati, la formazione dei membri del consiglio direttivo e dei volontari sul trattamento sicuro dei dati personali, la creazione di un concetto di protezione dei dati e di sicurezza informatica, la definizione di canali di segnalazione per gli incidenti relativi alla protezione dei dati, regolamenti scritti sull'utilizzo di dispositivi privati ("Bring Your Own Device") e sul loro monitoraggio.
Inoltre, i concetti di back-up, registrazione degli accessi e cancellazione dei dati non più necessari devono essere intesi come componenti dell'organizzazione della protezione dei dati.
Suggerimento di lettura: Newsletter tra GDPR ed ePrivacy - il consenso non è sempre necessario
Diritti degli interessati
Le organizzazioni devono stabilire procedure interne per garantire che le richieste degli interessati siano elaborate in modo rapido, completo e conforme alle norme sulla protezione dei dati. Ciò include, in particolare, l'istituzione di un punto di contatto centrale per i problemi di protezione dei dati, la formazione delle persone responsabili e la documentazione delle richieste in arrivo e delle relative fasi di elaborazione.
Ai sensi dell'art. 15 del GDPR, gli interessati hanno il diritto di ricevere informazioni sui dati personali che li riguardano. Questo diritto all'informazione comprende le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, il periodo di conservazione previsto o i criteri per determinare tale periodo e l'esistenza di altri diritti degli interessati. Devono inoltre essere fornite informazioni sull'origine dei dati (se non sono stati raccolti dall'interessato) e sull'esistenza di un processo decisionale automatizzato, compresa la profilazione.
Inoltre, in determinate condizioni legali, gli interessati hanno il diritto di:
- Correzione dei dati errati (art. 16 GDPR),
- Cancellazione ("diritto all'oblio", art. 17 GDPR),
- Limitazione del trattamento (art. 18 GDPR),
- Portabilità dei dati (art. 20 GDPR) e
- Obiezione al trattamento dei dati (art. 21 GDPR).
Le associazioni sono tenute a soddisfare questi diritti in modo tempestivo - di solito entro un mese - e a informare l'interessato delle misure adottate. Se le richieste vengono respinte, devono essere fornite le motivazioni e deve essere notificato il diritto di presentare un reclamo all'autorità di controllo della protezione dei dati.
Responsabile della protezione dei dati e registro delle attività di trattamento nell'organizzazione
È necessario nominare un responsabile della protezione dei dati se almeno 20 persone trattano regolarmente dati personali con mezzi automatizzati (Sezione 38 BDSG). Ciò include anche i dipendenti volontari e a tempo parziale. Se non vi è l'obbligo di nominare un responsabile della protezione dei dati, una nomina volontaria può essere consigliabile nel caso di rischi particolari, ad esempio gruppi di auto-aiuto o associazioni politiche.
Ogni associazione deve inoltre tenere un registro delle attività di trattamento ai sensi dell'art. 30 del GDPR. Questo deve includere tutte le attività di trattamento dei dati regolari, in particolare l'amministrazione dei soci, la contabilità dei contributi o la gestione di un sito web. L'eccezione di cui all'art. 30 par. 5 del GDPR è raramente applicata nella pratica, poiché le associazioni trattano regolarmente i dati personali su base permanente.
Valutazione dell'impatto sulla protezione dei dati
Uno Valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR deve essere effettuato se il trattamento può comportare un rischio elevato per i diritti e le libertà degli interessati. Questo è raramente il caso delle attività tipiche di un'associazione, ma potrebbe diventare rilevante se:
- Nei gruppi di auto-aiuto si raccolgono ed elaborano numerosi dati sulla salute,
- sistematicamente il tracciamento o la videosorveglianza,
- le categorie di dati particolarmente sensibili sono analizzate con procedure di IA o di profilazione.
Se la DPIA è obbligatoria, deve essere effettuata e documentata prima dell'inizio del trattamento dei dati. Inoltre, devono essere specificate le misure di minimizzazione del rischio e, se necessario, deve essere consultata l'autorità di vigilanza nel caso in cui non sia possibile minimizzare il rischio.
In caso di dubbio, le organizzazioni dovrebbero verificare se è richiesta una DPIA ed effettuare una valutazione strutturata dei rischi per tutelarsi. Tuttavia, per molte operazioni di trattamento standard, come l'amministrazione dei soci o la contabilità dei contributi, non vi è generalmente alcun obbligo di effettuare una DPIA.
Ai sensi dell'art. 32 del GDPR, devono essere attuate misure tecniche e organizzative adeguate per garantire il trattamento dei dati. Queste includono, in particolare, la crittografia, i concetti di autorizzazione, la separazione dei dati associativi da quelli privati e una gestione efficace dei dispositivi finali utilizzati anche nell'ufficio domestico. Si raccomanda anche un concetto di sicurezza informatica. L'invio di dati personali via e-mail dovrebbe essere almeno criptato per il trasporto; per i dati particolarmente sensibili si raccomanda la crittografia end-to-end. Quando si utilizzano dispositivi privati, occorre fare attenzione a classificare e separare i dati, ad esempio attraverso account utente separati.
Pubblicazione di informazioni sul club
In caso di pubblicazione di dati personali - come nomi, funzioni, immagini o date di nascita - è generalmente necessario ottenere un consenso documentato. Ciò vale in particolare per:
- Foto individuali e di gruppo durante gli eventi,
- Elenchi di risultati di tornei o competizioni,
- Menzione di partecipazioni onorarie o di anniversari,
- Pubblicazione dei verbali delle riunioni o delle persone di contatto sul sito web.
Le sezioni 22 e 23 della KUG si applicano anche alle foto. Sebbene questi consentano la pubblicazione senza consenso in alcuni casi (ad esempio per le immagini di raduni o eventi storici), vi è una notevole incertezza giuridica, in particolare nel caso della distribuzione digitale. Nel contesto delle associazioni è quindi necessario ottenere sempre il consenso, che deve essere inequivocabile, volontario e revocabile.
Particolare cautela è richiesta anche quando si trasmettono i dati a fornitori di servizi: Se una terza parte esterna non si limita a fornire assistenza, ma elabora i dati per conto del titolare del trattamento, questo costituisce regolarmente un trattamento commissionato ai sensi dell'art. 28 del GDPR - ciò richiede un contratto separato.
Per motivi di tracciabilità e responsabilità, ogni trasferimento di dati - soprattutto su Internet - dovrebbe essere documentato internamente per poter dimostrare che i requisiti di protezione dei dati sono stati rispettati in caso di reclami o verifiche da parte delle autorità di controllo.
I trasferimenti di dati a terzi - in particolare a organizzazioni ombrello, organizzazioni legate ad associazioni, fornitori di servizi esterni o al pubblico tramite siti web - richiedono una base legale. La pubblicazione di dati personali su Internet costituisce un trasferimento di dati ai sensi del GDPR ed è generalmente consentita solo sulla base del consenso. Lo stesso vale per foto, verbali di riunioni ed elenchi di risultati, a meno che non si applichi un'eccezione ai sensi della legge sul diritto d'autore (sezioni 22 e 23 KUG). Per sicurezza, il consenso dovrebbe essere sempre documentato, soprattutto per le foto individuali e di gruppo.
Elaborazione degli ordini e sito web
Se un fornitore di servizi esterno viene incaricato di elaborare i dati personali, è necessario stipulare un contratto di elaborazione degli ordini ai sensi dell'art. 28 del GDPR. Questo è il caso, ad esempio, quando si incaricano fornitori di servizi informatici, consulenti fiscali o fornitori di hosting.
Un'informativa sulla privacy conforme al GDPR deve essere facilmente accessibile sul sito web dell'organizzazione e disponibile in ogni sottopagina. Tra le altre cose, deve contenere informazioni sul titolare del trattamento, sul responsabile della protezione dei dati (se nominato), sulle finalità, sulla base giuridica, sui periodi di conservazione e sui diritti degli interessati. Sono inoltre obbligatori banner per il consenso ai cookie e informazioni trasparenti sugli strumenti di tracciamento e analisi.
I social media
In base all'attuale situazione giuridica, l'uso delle pagine fan di Facebook e di altri social network non è consigliabile, in quanto non soddisfano regolarmente i requisiti di protezione dei dati del GDPR, in particolare per quanto riguarda la responsabilità congiunta e i trasferimenti da Paesi terzi. Se il loro utilizzo è obbligatorio, è necessario adottare misure tecniche aggiuntive (ad esempio, soluzioni a due clic).
Fonte: Protezione dei dati nell'associazione secondo il GDPR
Avete bisogno di supporto per l'implementazione nella vostra organizzazione? Offriamo consulenza pratica sulla protezione dei dati e soluzioni digitali - efficienti, comprensibili e conformi alla legge.
Contattateci: possiamo aiutarvi!
☎️ +49 (228) 926165-100
📧 verona@2b-advice.com