Normativa Europea in tema di sicurezza dei tuoi dati: il GDPR.
La General Data Protection Legislation
CHE COSA È LA NORMATIVA GDPR?
La normativa europea per la tutela della privacy conosciuta come GDPR (General Data Protection Regulation, Regolamento Europeo sulla Privacy, 679/2016), deve essere recepita e applicata a partire dal 25 maggio 2018. Il decreto è relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, e mira a unificare le leggi sulla protezione dei dati dei vari paesi europei. Tra gli altri, sono stati introdotti alcuni concetti, tra cui quello di “accountability”, che richiede al titolare del trattamento della conservazione delle informazioni riservate, di mettere in atto adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Vengono inoltre indicate le norme con cui agire in caso di violazione dei dati. (leggi le indicazioni del Garante)
Le TUE responsabilità e quelle di ProgettoD
DI QUALI DATI PARLIAMO e PER QUALI FINALITÀ ?
Nel caso delle ASD, i dati sensibili, per cui deve essere richiesto espressamente un consenso al trattamento, riguardano i dati anagrafici degli Atleti e dei loro tutori, tra cui:
- Nome e Cognome;
- Indirizzo di residenza;
- Data di nascita e Codice Fiscale;
- Recapito telefonico e di e-mail.
In TeamORG, ossia nel gestionale sportivo che stai utilizzando con ProgettoD, la conservazione dei dati sui Data Base, è finalizzata a permettere alla ASD proprietaria dei dati, di accedere, mediante la digitazione di user e password esclusivi, alla gestione di tali dati per l’emissione di ricevute di pagamento o stampe quali il Libro Soci, previsto per le ASD. Tali dati sono conservati presso una struttura di Data Base su server Aruba. E` evidente ed è inteso che ProgettoD non è autorizzato e non può procedere nel comunicare in alcun modo o maniera o ambito tali dati a terze parte, di qualunque tipo esse siano.
QUALI SONO LE TUE RESPONSABILITÀ?
Gli utilizzatori di TeamORG, ossia tu ASD, sono i primi responsabili del trattamento dei dati personali dei propri Atleti. Le ASD, infatti, devono raccogliere da ogni iscritto l’autorizzazione alla conservazione su archivio elettronico dei dati personali e delle fotografie. L’ASD deve avere in tal senso liberatoria scritta e controfirmata dal diretto interessato o dal tutore legale (consenso esplicito). In pratica, deve essere fatto firmare all’atleta (o al suo tutore se è minore di anni 16) un documento di iscrizione in cui sono palesati con chiarezza i suoi diritti alla privacy.
QUALI SONO LE RESPONSABILITÀ DI PROGETTOD?
ProgettoD fornisce alle ASD clienti, il software TeamORG in modalità SaaS.
ProgettoD è responsabile dell’elaborazione dei dati, ed elabora i dati per conto del responsabile del trattamento dei dati (l’ASD). ProgettoD, in quanto responsabile della elaborazione dei dati, deve implementare misure tecniche e organizzative adeguate per garantire e dimostrare che l’elaborazione dei dati viene eseguita in conformità al regolamento GDPR.
ProgettoD ha pubblicato la seguente Informativa Privacy e ne chiede l’accettazione in fase di iscrizione al proprio servizio denominato TeamORG .
ProgettoD è cliente di Aruba.it, con cui ha un contratto di utilizzo di database e hosting. ProgettoD ha individuato alcune informazioni che ritiene di maggior sensibilità rispetto ad altre;
tali informazioni vengono inserite nei database, conservati nei Data Center Aruba, con algoritmi di crittografia, in modo che l’eventuale violatore del dato si trovi a diffondere o ad utilizzare una serie di elementi non riconoscibili.
Aruba fornisce le garanzie di sicurezza e di conformità al regolamento GDPR per quanto riguarda la conservazione di informazioni su database e immagini. In particolare Aruba offre a ProgettoD, in quanto cliente, un’infrastruttura basata su Data Center europei, nonchè funzionalità di disaster recovery, backup e la risposta ai nuovi requisiti di legge GDPR. Gli standard di sicurezza adottati dalle soluzioni Aruba Cloud sono certificati ISO 27001:2013, cui si aggiunge la Certificazione ISAE 3402:2011 Type II Report, che garantiscono la qualità dei servizi e processi aziendali.
(Aruba dichiara adesione a CISPE in tema di conservazione dei dati)
Le cose indispensabili da sapere
ENTRIAMO NEL DETTAGLIO DEL DECRETO GDPR
Quali sono le cose indispensabili che devono sapere le Associazioni Sportive Dilettanti in materia di GDPR?
Innanzi tutto va detto che anche le organizzazioni no profit dovranno adeguarsi al regolamento europeo.
In sintesi, la norma riguarda tutti i soggetti pubblici e privati che trattano dati di cittadini europei, quindi anche tutte le ASD.
Tra le principali novità introdotte dalla norma, si elenca:
- Per i dati sensibili, il consenso deve essere fornito in forma esplicita;
- Il consenso documentato per iscritto mediante firma dell’interessato, è considerato il modo più idoneo;
- Il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
- Il consenso dei minori è valido a partire dai 16 anni; prima è necessario raccogliere il consenso dal tutore;
- L’informativa deve essere comprensibile e facilmente accessibile, e deve utilizzare un linguaggio semplice e chiaro.
- Il diritto a conoscere le finalità dell’uso dei i propri dati;
- Il diritto a sapere a chi verranno comunicati i suoi dati personali;
- Il diritto all’oblio, ossia il diritto di ottenere la cancellazione dei propri dati personali se l’interessato revoca il proprio consenso.
- Capacità di fornire la natura, durata e finalità del trattamento;
- Capacità di specificare le categorie di dati oggetto di trattamento;
- Capacità di adottare misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni del regolamento;
- Adozione di un registro dei trattamenti e svolti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti;
- In caso di perdita o furto di dati vi è l’obbligo di comunicare entro 72 ore sia agli interessati che alla competente autorità le citate violazioni (Data Breach).
RESTITUZIONE O ELIMINAZIONE DEL DATI (DIRITTO ALL’OBLIO).
In TeamORG, esiste un piano di backup giornaliero che ha una profondità storica di 7 giorni. In ogni momento, l’ASD ha la possibilità di azzerare una scheda Atleta, ossia rendere su questa del tutto nulli i dati caratterizzanti. Nell’arco di 7 giorni, non resterà traccia alcuna dei dati cancellati, senza possibilità o modo di recupero.
MODIFICA DEI TUOI DATI
Ti ricordiamo che puoi in qualunque momento esercitare i tuoi diritti di cui agli artt. 15 e ss. del Regolamento UE 2016/679, come ad esempio il diritto di accesso ai dati, o semplicemente aggiornare i consensi rilasciati scrivendo a ProgettoD, e-mail: progettod@ymail.com
NOTIFICA DELLE VIOLAZIONI DI DATI PERSONALI
A partire dal 25 maggio 2018, tutti i titolari di servizi di comunicazione elettronica accessibili a terzi, dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati
Il succo di tutta la storia
IN SOSTANZA, COSA CAMBIA?
Il regolamento GDPR rende in sostanza operative una serie di indicazioni a tutela della Privacy che già erano osservate dai gestori di informazioni più seri tra cui sicuramente ProgettoD. Fin dalla prima sottoscrizione dell’aprile 2014, la parte che ha impegnato di più il nostro team è stata quella di garantire la sicurezza dei dati e la riservatezza delle informazioni, considerata il vero elemento distintivo e di qualità. La tipologia stessa del business che andiamo a percorrere, parla di un progetto lungo, esteso negli anni, in cui l’obiettivo è la diffusione del prodotto TeamORG, così da avere una base estesa di utilizzo. Le tariffe di sottoscrizione ribadiscono uno scopo che si dissocia evidentemente dall’immediato ritorno economico. Non esiste altresì alcun tipo di intenzione di intraprendere business legati verso la promozione di marchi o offerte di alcun genere verso i propri iscritti (le ASD) o verso i loro Atleti.
ELEMENTI DI RINNOVAMENTO.
Un evento come questo, in ogni caso, è un’ottima occasione per cambiare in meglio la propria offerta. In pratica, ossia tra le cose che hanno un riflesso immediatamente tangibile per le ASD, vengono introdotte due novità: la prima è l’obbligo di notificare al sistema che è stato richiesto all’Atleta il consenso all’archiviazione non divulgativa dei propri dati; la seconda è il riporto degli estremi del contratto di licenza offerto da ProgettoD, all’interno della ricevuta di pagamento.