policy - Mastro Caparra

SEGUICI
Artista del Ferro
Mastro Caparra
arrow
logo caparra
Caparra
english version
link sito italiano
SEGUICI
Vai ai contenuti
IL CONSENSO E LE INFORMATIVE PER LA PRIVACY, secondo il Regolamento UE 2016/679

In seguito all’approvazione del D.Lgs 101/2018, che ha preso atto dell’entrata in vigore del Regolamento UE 2016/679 ed ha emendato il D.Lgs 196/2003, le modalità di raccolta del consenso per l’uso dei dati delle persone fisiche sono cambiate.

Il D.Lgs 101/2018 ha completamente abrogato gli art. 13 e 14 del D.Lgs 196/2003, per questo nelle liberatorie per il consenso va eliminato ogni riferimento alla 196, ma devono essere citati gli art. 13 e 14 del Regolamento 679.

Il Regolamento ha introdotto una distinzione tra “consenso” ed “informativa”:
  • Il consenso deve sempre raccolto quando vengono richiesti dati “particolari” delle persone (i dati sensibili secondo la vecchia definizione). La richiesta del consenso deve presentare sempre le due alternative (“do il consenso”, “nego il consenso”) sia nei documenti cartacei che nei format informatici; il consenso deve essere espresso in forma chiara ed esplicita (presenza della firma o del fleg sull’alternativa scelta).
  • Quando vengono trattati solo dati personali comuni, se questi riguardano la gestione di un contratto (di qualsiasi genere), la firma del contratto equivale ad un consenso esplicito. In questo caso non è necessario aggiungere altre firme o fleg, ma è sufficiente mettere a disposizione della persona una “informativa”. Il testo dell’informativa può essere quello utilizzato per raccogliere il consenso, senza lo spazio per la firma.

Chiarite queste due differenze, c’è un altro obbligo richiesto dal Regolamento; è una novità significativa, che ha importanti conseguenze. E’ un punto centrale del Regolamento, non sempre compreso in modo chiaro.

A differenza del D.Lgs 196, che parlava principalmente di “trattamenti dei dati”, il Regolamento dice che il soggetto che raccoglie i dati deve dichiarare in modo chiaro ed esplicito la o le FINALITA’ per le quali si stanno raccogliendo i dati personali. Quindi non vanno elencati i trattamenti che saranno svolti ma deve essere, per prima cosa, espressamente descritto lo scopo della raccolta dati. Il Regolamento prevede inoltre che, se le finalità sono diverse e distinte, il consenso deve essere dato necessariamente per ognuna di queste (non può essere sommativo).

Concretamente significa che se si richiedono dei dati personali per poter erogare un servizio, di qualsiasi genere, l’erogazione del servizio è la finalità della raccolta dei dati e, cosa importante, tutti i trattamenti legati alla realizzazione di quel servizio diventano quindi legittimi.

Il primo consiglio per le associazioni è quindi questo:
  • richiedere il consenso sempre e solo per una sola finalità: la realizzazione di uno specifico servizio. E’ inutile raccogliere troppi dati per finalità diverse e, a volte, divergenti.

C’è solo una eccezione che riguarda le organizzazioni senza scopo di lucro; a queste il Regolamento dà la possibilità di utilizzare una finalità accessoria, e cioè:
  • dare informazioni ai propri soci, agli ex-soci, alle “persone che hanno un regolare rapporto” con l’associazione (e possono essere gli utenti dei servizi) sulle proprie attività ed i propri servizi, a condizione di non diffondere i dati personali ad altri e diversi soggetti (art. 9, lettera d) del Regolamento UE).

Quindi una associazione può raccogliere il consenso per utilizzare i dati per la realizzazione di un servizio (o di un “contratto”, come può essere l’atto di associazione o adesione) e può correttamente utilizzare i dati di contatto (l’indirizzo postale, l’indirizzo e-mail, il telefono) per informare la persone sulle proprie attività e sugli eventi che organizzerà.

Ed ora vediamo come deve essere il testo da utilizzare per raccogliere il consenso. Il Regolamento definisce in modo preciso i suoi contenuti, introducendo delle informazioni aggiuntive rispetto alle “vecchie” liberatorie (che quindi è meglio non utilizzare più).
Il Regolamento dice anche, in modo esplicito, che il testo deve essere chiaro, semplice, comprensibile, cioè si invita a non presentare e far sottoscrivere un testo di  più pagine in caratteri microscopici. E’ un chiaro invito ad evitare l’uso di testi lunghi e complessi, che nessuno leggerà; è anche un invito alle persone a non firmare testi di questo genere, senza averli ben letti e compresi.

Il Regolamento ci sta dicendo che la persona deve essere informata, deve essere consapevole e deve dare il consenso perché d’accordo, senza essere influenzata o, peggio, ricattata in alcun modo.

Ultima notazione: se avete dei documenti (per esempio dei Curriculum Vitae) in cui c’è la dizione “secondo quanto previsto dall’art. 13 del D.Lgs 196/2003”, deve essere fatto solo un piccolo cambiamento. L’art. 13 del D.Lgs 196/2003 è stato abrogato, non esiste più. Per puro caso è stato completamente sostituito dall’art. 13 del Regolamento UE 2016/679. Quindi la frase corretta ora è “secondo quanto previsto dall’art. 13 del Regolamento UE 2016/679”.

Possiamo a questo punto vedere, passo a passo, i punti del modulo del consenso.

  1. Introduzione: mi presento e aderisco al Regolamento:
La frase introduttiva serve semplicemente a dare i riferimenti normativi ed a dire chi sono e può essere questa:
In ottemperanza agli adempimenti richiesti dagli art. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali le comunichiamo le modalità di raccolta ed utilizzo dei dati di mia ragione sociale”.

  1. Finalità della raccolta dei dati
A questo punto si deve dire perché chiediamo i dati, la finalità; la cosa più semplice è fare riferimento esplicito ad un singolo servizio, nel caso, ad esempio, che l’associazione abbia una finalità unica e definita. Altrimenti, se si svolgono attività diverse (come ad esempio, il trasporto di disabili e la gestione di un nido) si utilizza un testo generale. Se insieme ai dati generali, si ritiene che possano essere raccolti anche dei dati particolari, come quelli sulla salute, è meglio precisare subito che si raccolgono anche “dati particolari”.
Si aggiunge una breve frase dove si dice che i dati saranno inseriti nel proprio sistema informativo e trattati da personale autorizzato; si aggiunge che il loro trattamento è lecito e verrà fatto in modo trasparente e responsabile.  
Il testo può essere questo:
I dati personali, generali e dove richiesti “particolari”, sono raccolti per la gestione organizzativa, amministrativa del servizio (socio-assistenziale, sportivo, ricreativo, culturale, ecc.) da lei richiesto. Sono inseriti nel nostro sistema informativo e vengono trattati da personale autorizzato. Il loro trattamento è legittimo e verrà fatto in modo trasparente e responsabile.”

  1. Obbligatorietà e trattamenti previsti
Il conferimento dei dati, se richiesto per la realizzazione di un servizio è normalmente “obbligatorio”. In altri casi, se per esempio si descrive una seconda finalità, aggiuntiva, può essere facoltativo. Bisogna specificarlo, nell’esempio che si riporta, poiché non vi sono altre finalità, viene scritto che il conferimento è obbligatorio. Si può aggiungere una frase generica sui trattamenti previsti.
Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale rinuncia al conferimento dei dati, renderebbe impossibile la gestione delle procedure organizzative, amministrative e fiscali del servizio da lei richiesto.”

  1. Soggetti a cui verranno comunicati i dati
A questo punto dobbiamo specificare se vi sono soggetti esterni ai quali potrebbero essere comunicati i dati. C’è una prima distinzione letterale da fare, richiesta dal Regolamento: i dati infatti possono essere:
  • diffusi
  • o comunicati.
La regola principale, che evita problemi, è quella di confermare che i dati non verranno mai diffusi, cioè diffusi in modo indiscriminato a soggetti esterni per un uso totalmente diverso o indiscriminato. Possiamo invece, legittimamente “comunicarli” solo ad alcuni, soggetti se ciò:
  • è necessario per la realizzazione concreta del servizio (può essere una assicurazione, il commercialista, la banca per i pagamenti ecc.).
  • oppure è richiesto per obblighi normativi o contrattuali (per esempio, perché esiste un obbligo di legge, od in presenza di una convenzione con un ente pubblico.
I suoi dati personali non saranno da noi diffusi; potranno essere comunicati ad eventuali enti pubblici, solo qualora vi siano degli obblighi di legge, od ad altri organismi che collaborano con noi nella realizzazione del servizio”.

  1. Periodo di conservazione. Diffusione extra-UE
Il Regolamento richiede obbligatoriamente due informazioni che non erano presenti nelle liberatorie fatte sulla base del D.Lgs 196/2003, e sono:
  • il tempo di conservazione dei dati;
  • la eventuale diffusione dei dati in paesi non comunitari (extra-UE).
Per il tempo di conservazione, il Regolamento dice che i dati vanno conservati per un periodo temporale definito, con un termine. Alla scadenza del tempo stabilito i dati dovranno essere cancellati. Il periodo di conservazione può essere distinto in tre parti:
  • per la durata del servizio richiesto o dell’attività scelta (come, ad esempio, per il tempo di adesione od associazione);
  • per un ulteriore periodo, se può essere richiesto per la gestione amministrativa dei documenti o perché vi sono degli obblighi normativi (i dati contabili vanno tenuti per dieci anni ecc.);
  • per un ulteriore periodo (ad esempio dopo i 10 anni) solo ed esclusivamente per o come “archivio storico”, ma in questo caso la conservazione legittima può riguardare solo una parte della documentazione (ad esempio, le certificazioni o le attestazioni formative o delle attività svolte).
Il secondo obbligo è quello della diffusione in paesi extra-UE. Il Regolamento si occupa della protezione dei dati delle persone e, dopo il 25 maggio 2018, è una norma applicata in tutti i paesi della Comunità. Il Regolamento chiede una cosa in più, sempre a tutela delle persone: evitare di diffondere i dati nei paesi che non applicano o non riconoscono il Regolamento e che non danno garanzie come sistemi di protezione. Vi è un elenco di paesi extra-UE che hanno già dichiarato di essere disponibili ad applicare il Regolamento, ma per ora è un elenco alquanto ridotto.
Gli adempimenti richiesti su questo aspetto sono due:
  • in ogni caso dobbiamo dire alla persona che ci sta dando i dati se questi dati verranno inviati (o depositati) presso paesi extra-comunitari (e sorge il problema, ad esempio, di dove sono collocati i server di eventuali cloud utilizzati)
  • se prevedo di esportarli in paesi extra devo richiedere una autorizzazione al Garante.
La frase può essere questa:
I suoi dati verranno conservati per il periodo richiesto per l’erogazione del servizio ed in ogni caso non superiore a 5 anni. I suoi dati non verranno diffusi in paesi extra-Unione Europea.”

  1. Altri trattamenti connessi alla finalità principale
Questa è una aggiunta specifica per le associazioni senza scopo di lucro, che richiama quanto già detto prima, cioè la possibilità per le organizzazione non profit di “informare regolarmente i propri associati od utenti dei servizi” sulle proprie iniziative ed attività. Il testo è il seguente:
I suoi dati di reperibilità potranno altresì essere utilizzati da ragione sociale esclusivamente per informarla sui nostri servizi ed iniziative sociali.”

  1. Diritti della persona
Il Regolamento impone l’obbligo, in ogni liberatoria privacy, di elencare i diritti della persona, che sono leggermente cambiati rispetto a quelli previsti dal D.Lgs 196/2003; in più c’è il “diritto all’oblio”, cioè alla cancellazione totale da ogni archivio, cartaceo e digitale, di tutti i dati di una persona. E’ un diritto che riguarda soprattutto i social network ed in modo particolare i motori di ricerca. Lo si deve citare ma è sarà probabilmente richiesto solo in situazioni particolari.
Bisogna dire dove la persona deve rivolgersi per richiedere questi diritti. Il testo diventa questo:
Nella gestione dei suoi dati personali si terrà conto dei suoi diritti (articoli da 15 a 22 del Regolamento 2016/679), e cioè il diritto all’accesso, alla rettifica ed alla cancellazione (diritto all’oblio), alla limitazione del trattamento, all’opposizione al trattamento, il diritto di proporre un reclamo al Garante Privacy. Le richieste di applicazione dei suoi diritti vanno indirizzate al titolare del trattamento, utilizzando i recapiti sotto-riportati.”

    8. Ritorniamo alla distinzione tra consenso ed informativa
Il testo con la data e la firma si utilizza per la raccolta del consenso; se invece è sufficiente una informativa perché c’è un contratto già sottoscritto dalla persona che dà i dati (sul modulo di adesione, sulla richiesta di un servizio), non è necessario richiedere una ulteriore firma. Questa informativa, invece di essere consegnata ad ogni singola persona può anche essere resa pubblica e disponibile pubblicandola sul sito web dell’associazione.
In questo caso è sufficiente aggiungere (sul contratto o sul modulo di iscrizione/adesione) una frase come la seguente:

Dichiarazione sul trattamento dei dati (Regolamento UE 2016/679)
Le comunichiamo che la sottoscrizione del presente contratto (o richiesta di un servizio / adesione) equivale a liberatoria nell’uso dei suoi dati generali, in quanto “il trattamento è necessario all’esecuzione del contratto di cui l’interessato è parte” (dall’Art. 6, comma 1, lettera b). Una informativa generale sulle modalità di trattamento è in ogni caso pubblicata sul sito www…………….it sotto la voce “Informative privacy”.




A) INFORMATIVA AI SENSI DEL REGOLAMENTO UE 2016/679 SULLA PROTEZIONE DEI DATI


PER GLI UTENTI DEI SERVIZI

In ottemperanza agli adempimenti richiesti dagli art. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali le comunichiamo le modalità di raccolta ed utilizzo dei dati di ragione sociale
  1. Finalità della raccolta dati. I dati personali, comuni e dove richiesti “particolari”, sono raccolti per la gestione organizzativa, amministrativa del servizio (socio-assistenziale, sportivo, ricreativo, culturale, ecc) da lei richiesto. Sono inseriti nel nostro sistema informativo e vengono trattati da personale autorizzato. Il loro trattamento è legittimo e verrà fatto in modo trasparente e responsabile.
  2. Obbligatorietà e trattamenti previsti. Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale rinuncia al conferimento dei dati, renderebbe impossibile la gestione delle procedure organizzative, amministrative e fiscali del servizio da lei richiesto.
  3. Soggetti a cui verranno comunicati i dati. I suoi dati personali non saranno da noi diffusi; potranno essere comunicati ad eventuali enti pubblici, come strutture sanitarie, solo qualora vi siano degli obblighi di legge, od alle organizzazioni che collaborano con noi nella realizzazione del servizio richiesto.
  4. Periodo di conservazione, diffusione extra-UE. I suoi dati verranno conservati per il periodo richiesto per l’erogazione del servizio ed in ogni caso non superiore a 5 anni. I suoi dati non verranno diffusi in paesi extra-Unione Europea.   
  5. Altri trattamenti connessi alla finalità principale. I suoi dati di reperibilità potranno altresì essere utilizzati da ragione sociale , in quanto soggetto senza scopo di lucro, esclusivamente per informarla sui nostri servizi ed iniziative sociali.

Diritti della persona che conferisce i dati. Nella gestione dei suoi dati personali si terrà conto dei suoi diritti (articoli da 15 a 22 del Regolamento 2016/679), e cioè il diritto all’accesso, alla rettifica ed alla cancellazione (diritto all’oblio), alla limitazione del trattamento, all ’opposizione al trattamento, il diritto di proporre un reclamo al Garante Privacy. Le richieste di applicazione dei suoi diritti vanno indirizzate al titolare del trattamento, utilizzando i recapiti sotto-riportati.


B) INFORMATIVA AI SENSI DEL REGOLAMENTO UE 2016/679 SULLA PROTEZIONE DEI DATI

PER GLI ASSOCIATI, I COLLABORATORI ESTERNI

In ottemperanza agli adempimenti richiesti dagli art. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali le comunichiamo le modalità di raccolta ed utilizzo dei dati di ragione sociale
  1. Finalità della raccolta dati. I dati personali, comuni, sono raccolti per la gestione delle attività previste dal contratto (o atto di adesione) sottoscritto Sono inseriti nel nostro sistema informativo e vengono trattati da personale autorizzato. Il loro trattamento è legittimo e verrà fatto in modo trasparente e responsabile.
  2. Obbligatorietà e trattamenti previsti. Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale rinuncia al conferimento dei dati, renderebbe impossibile la gestione delle procedure organizzative, amministrative e fiscali del servizio da lei richiesto.
  3. Soggetti a cui verranno comunicati i dati. I suoi dati personali non saranno da noi diffusi; potranno essere comunicati ad eventuali enti pubblici solo qualora vi siano degli obblighi di legge, od alle organizzazioni che collaborano con noi gestione del contratto in essere.
  4. Periodo di conservazione, diffusione extra-UE. I suoi dati verranno conservati per il periodo richiesto per l’erogazione del servizio ed in ogni caso non superiore a 5 anni. I suoi dati non verranno diffusi in paesi extra-Unione Europea.   
  5. Altri trattamenti connessi alla finalità principale. I suoi dati di reperibilità potranno altresì essere utilizzati da ragione sociale , in quanto soggetto senza scopo di lucro, esclusivamente per informarla sui nostri servizi ed iniziative sociali.

Diritti della persona che conferisce i dati. Nella gestione dei suoi dati personali si terrà conto dei suoi diritti (articoli da 15 a 22 del Regolamento 2016/679), e cioè il diritto all’accesso, alla rettifica ed alla cancellazione (diritto all’oblio), alla limitazione del trattamento, all ’opposizione al trattamento, il diritto di proporre un reclamo al Garante Privacy. Le richieste di applicazione dei suoi diritti vanno indirizzate al titolare del trattamento, utilizzando i recapiti sotto-riportati.






Torna ai contenuti