Come gestire – ai fini della privacy – i dati privati di un associazione?

È necessario acquisire il consenso al trattamento dei dati per iscritto, atteso che la ASD/SSD deve dimostrare di averlo acquisito.

L’associazione deve fornire una informativa sulle finalità e modalità di trattamento dei dati, acquisire il consenso (sempre meglio per iscritto per poterne dare prova) mentre non dovrà chiedere l’autorizzazione al Garante per il trattamento dei dati (viene periodicamente rilasciata una autorizzazione per tutte le associazioni) né notificare il trattamento dei dati sensibili (è previsto l’esonero).

L’associazione è inoltre tenuta ad adottare le seguenti misure di sicurezza:

• ridurre al minimo il trattamento dei dati personali, nel rispetto dei principi di pertinenza nell’utilizzo dei dati e dei termini di conservazione degli stessi;
• garantire trasparenza per quanto riguarda le funzioni e il trattamento dei dati personali e ripartire in modo chiaro le responsabilità nel trattamento, tutto ciò conferendo l’incarico al trattamento dei dati a soci/collaboratori e individuando eventualmente il o i Responsabili del trattamento dei dati (tra i quali può essere annoverato l’Amministratore di sistema) e il Responsabile della protezione dei dati personali (obbligatorio quando si trattano dati sensibili su larga scala).

I profili di autorizzazione/conferimento dell’incarico al trattamento dei dati potranno essere anche cumulativi, ossia più persone possono essere autorizzate a trattare i medesimi dati. Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione:

• di questo deve risultare traccia in un Verbale del Consiglio direttivo;
• custodire correttamente i dati personali. L’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato, l’accesso ai relativi contenuti autorizzato e i contenuti preservati in armadio ignifugo;
• predisporre il Registro del trattamento dei dati. Tale adempimento non è obbligatorio per chi ha meno di 250 dipendenti, a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di dati che nel Codice della Privacy venivano definiti sensibili o i dati personali relativi a condanne penali. Si tratta di un adempimento simile al Documento programmatico sulla sicurezza (DPS) che doveva essere redatto da quanti trattavano dati sensibili attraverso il computer (art. 34 del D.lgs. 196/2003 + punto n. 19 dell’Allegato B al D.lgs).

All’interno di questo documento, che potrebbe essere tenuto con modalità informatica, è necessario indicare le seguenti informazioni:

Chi sono e come possiamo contattare il titolare/contitolare/responsabile della protezione dei dati? Perché trattiamo i dati?
Quali dati trattiamo? Ci sono diverse categorie d’interessati? A chi possiamo comunicare i dati? Li comunichiamo anche a organizzazioni internazionali, a organizzazioni con sede fuori dall’Europa? Quando procediamo alla cancellazione dei dati?
Quali sono i rischi nel trattamento dei dati e quali sono le misure di sicurezza tecniche e organizzative adottate?

Disciplinare la procedura nel caso di data breach o perdita dei dati.

Chi scopre che sono stati violati dati personali (abbiamo perso il faldone o la chiavetta contenente i dati dei soci) deve comunicarlo immediatamente al Presidente dell’associazione, o, se nominato, al Titolare del trattamento dei dati affinché questi possa notificare la violazione dei dati personali, entro 72 ore dal momento in cui ne è venuto a conoscenza, al Garante privacy a meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Se il rischio per gli interessati si ritiene elevato, è necessario informare anche loro della violazione. Di tale violazione è necessario conservare idonea documentazione (in un verbale del Consiglio direttivo e/o nel Registro del trattamento dei dati, valutando se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso).

Qualora l’associazione si limiti a trattare dati su supporti cartacei, le misure di sicurezza si possono limitare a quelle descritte.

Viceversa, le associazioni che trattano dati personali anche su supporto informatico dovranno espletare i seguenti ulteriori adempimenti:

• dotare ogni incaricato della sua password di accesso. È necessario dotare gli incaricati di una password di accesso ai computer conosciuta solo dall’operatore, composta da almeno 8 caratteri, che non contenga riferimenti agevolmente riconducibili all’incaricato e che venga modificata dall’incaricato al primo utilizzo e successivamente almeno ogni sei mesi (tre mesi se il trattamento riguarda dati sensibili e giudiziari). La password non può essere assegnata ad altri incaricati, neppure in tempi diversi. Devono essere disattivate le password non utilizzate da almeno sei mesi – salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica – e le password di quanti perdono la qualità che consente l’accesso ai dati personali;
• garantire il salvataggio dei dati. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale;
• garantire le tutele per i dati sensibili o giudiziari. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo mediante l’utilizzo d’idonei strumenti elettronici.

Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Sono adottate inoltre idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi certi, compatibili con i diritti degli interessati e non superiori a sette giorni; nominare l’amministratore di sistema,”soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”, ossia chi, in ambito informatico, si occupa della gestione e manutenzione dei computer, ivi inclusi quanti si occupano del salvataggio dei dati (backup/recovery), dell’organizzazione dei flussi di rete, della gestione dei supporti di memorizzazione e della manutenzione hardware. Il responsabile del trattamento dovrà designare il (o gli) amministratori di sistema individualmente, specificando gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Il responsabile del trattamento dovrà inoltre verificare, almeno annualmente, l’operato degli amministratori di sistema e dovranno essere adottati dei sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.