Dal 25 maggio prossimo entrerà in vigore il Regolamento (UE) 2016/679 che ha rivoluzionato il panorama della privacy e del trattamento dei dati, accentuando fortemente la responsabilizzazione dei titolari del trattamento e i diritti degli interessati.
La materia merita di essere approfondita, anche in vista delle sanzioni che l’Autorità Garante per i dati personali sarà chiamata ad applicare e che, a seconda dei casi, potranno raggiungere i 20 milioni di euro o il 4% del fatturato annuo. Sarà più che opportuno, dunque, che i titolari del trattamento si conformino alle prescrizioni contenute nella nuova normativa, per non incorrere in sanzioni civili, penali, amministrative ed evitare, altresì, azioni di risarcimento danno da parte degli interessati.
In estrema sintesi, i titolari del trattamento dovranno porre in essere una serie di comportamenti proattivi finalizzati a garantire il rispetto dei diritti e delle libertà fondamentali degli interessati, nonché il rispetto del Regolamento. Tra gli adempimenti più importanti vanno annoverati: l’analisi preventiva e l’impegno applicativo prima e dopo il trattamento (c.d. privacy by default e privacy by design), la valutazione dell’impatto del trattamento, la tenuta di un registro dei trattamenti costantemente aggiornato, la nomina di un responsabile per la protezione dei dati, la sicurezza del trattamento, la notifica delle eventuali violazioni dei dati.
Per quanto attiene alla specificità dell’attività svolta dalle associazioni sportive, già in passato il Garante ha avuto modo di pronunciarsi su alcuni aspetti peculiari, vietando, ad esempio, l’utilizzo di dati biometrici (come le impronte digitali) per accedere alle palestre e l’installazione di impianti di videosorveglianza negli spogliatoi. Il tutto, secondo quelli che oggi il nuovo Regolamento definisce come principi di proporzionalità, necessità e, quindi, minimizzazione del trattamento.
Ma i trattamenti come ben sapete possono riguardare diverse categorie di dati, tra cui quelli dei dipendenti e collaboratori, nonché quelli dei soci e degli associati. Con particolare riferimento a questi ultimi, va prestata molta cura ai dati dei soggetti maggiormente vulnerabili, come i minori e i soggetti affetti da avarie patologie, nonché, in generale, a tutti quei dati idonei a rivelare informazioni sullo stato di salute, ossia i dati “supersensibili”.
Per quanti riguarda i minori, ad esempio, il nuovo Regolamento prevede che ove il minore abbia un’età inferiore ai 16 anni, il trattamento è lecito soltanto se e nella misura in cui il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale. All’individuazione del soggetto competente dovrà, quindi, esser prestata particolare cura, specie nei casi in cui solo uno dei genitori eserciti la potestà genitoriale. Qualora invece il minore avrà più di 16 anni, il titolare dovrà prestare molta attenzione nel predisporre una informativa child friendly.
In generale, a tutti gli interessati dovrà esser fornita un’idonea informativa che, oltre ad indicare i dati del titolare, le finalità e modalità del trattamento, dovrà altresì specificare il tempo di conservazione dei dati e il diritto dell’interessato di presentare reclamo presso l’Autorità di controllo.
Sempre a proposito di informativa e consenso, quest’ultimo deve essere necessariamente facoltativo per le finalità di marketing, anche operato da soggetti terzi. Inoltre, nel caso in cui il predetto consenso fosse stato acquisito in passato attraverso l’utilizzo di flag pre-compilati, dovrà necessariamente essere riacquisito in forma libera, espressa e informata entro e non oltre il 25 maggio 2018.
Un altro esempio concreto che può interessarci riguarda il trattamento dei certificati medici, laddove i dati ivi contenuti non possono, senza consenso dell’interessato, formare oggetto di comunicazione, diffusione e/o pubblicazione e devono essere conservati nel rispetto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza parametrato al rischio.
A tal riguardo, deve evidenziarsi che con il nuovo Regolamento si passa da un’ottica di tutela incentrata sulle misure minime di sicurezza (credenziali di autenticazione segrete da disattivare in caso di perdita; password di almeno 8 caratteri contenenti almeno un numero, una maiuscola, un carattere speciale, da aggiornare ogni
3 mesi; blocco automatico del pc quando lo si lascia incustodito; sistemi antivirus aggiornati con cadenza almeno trimestrale; adeguamenti rispetto alle vulnerabilità di sistema con cadenza trimestrale; backup, ecc.) ad un’ottica basata sull’analisi del contesto.
Si passa, con ciò, dalle “misure minime” del Codice Privacy alle “misure adeguate” che dovranno essere attuate dal titolare attraverso una valutazione di impatto che contemperi la probabilità di un rischio per i diritti e le libertà fondamentali dell’interessato e la gravità dello stesso. Fra queste vanno annoverate: la pseudonimizzazione e la cifratura dei dati personali; la garanzia di riservatezza, integrità, disponibilità e resilienza; la capacità di ripristinare tempestivamente i dati in caso di incidente.
Quelli sopra descritti sono solo alcuni spunti di riflessione all’interno di un panorama forse meno prescrittivo/ autorizzativo ma più responsabilizzante per i titolari i quali, come avete visto, saranno chiamati ad un vero e proprio cambio di mentalità nell’approccio la trattamento dei dati.
Rubrica a cura
dell’avvocato Sara Lusi
