Società di pallavolo: il GDPR

969
Società di pallavolo: ecco le novità fiscali per il 2018

Società di pallavolo: il GDPR. Pubblichiamo di seguito il testo integrale del dott. comm. Gianpaolo Concari pubblicato sul numero di maggio 2018 della rivista online “fiscosport.it”

   

Le questioni relative alla protezione dei dati personali sono indipendenti rispetto alle dimensioni del soggetto che effettua il trattamento. Ciò significa che il punto focale della materia è se vi sia o meno un trattamento (raccolta, elaborazione, archiviazione e/o trasferimento a terzi) dei dati personali o dei dati sensibili e giudiziari.

Il prossimo 25 maggio andrà in vigore il Regolamento UE/2016/679 General Data Protection Regulation – GDPR che andrà a sostituire e, in alcuni Paesi della U.E. a scrivere, le regole per il trattamento dei dati personali. Si tratta di una norma sovranazionale che non necessita di un apposito provvedimento legislativo di recepimento nell’ordinamento degli Stati membri della U.E.

Questa particolare impostazione permetterà a tutti gli Stati della U.E. di partire con l’applicazione delle norme nello stesso momento, eliminando eventuali (pericolose) disarmonie.

L’Italia ha già una corposa regolamentazione in tema di protezione dei dati personali che risale alla legge n. 675/1996 che, dopo alcune modifiche e integrazioni, è stata sostituita dal d.lgs. 196/2003.

Il nostro Parlamento, con la cosiddetta “legge comunitaria” n. 163/2017, ha comunque delegato il Governo ad adottare uno o più decreti legislativi entro il 21 marzo 2018 al fine di adeguare il quadro normativo nazionale alle disposizioni contenute nel GDPR. Tuttavia il decreto richiesto nella legge comunitaria non ha ancora visto la luce se non in forma di bozza, stante il particolare periodo post-elettorale, che non ha ancora permesso la formazione di una nuova compagine di Governo.

Ad un primo esame delle disposizioni legislative in rassegna, ciò che si dovrà fare per il prossimo 25 maggio, sarà l’adeguamento dell’informativa da rilasciare agli associati per il trattamento dei loro dati personali.

Con ogni probabilità è un caso, ma sia nel GDPR che nel d.lgs. 196/2003, l’articolo 13 indica il contenuto dell’informativa che deve essere portata a conoscenza dell’interessato al momento del conferimento dei dati personali.

La nuova informativa, da consegnare all’interessato al momento del conferimento dei dati, appare più strutturata e dovrà contenere queste informazioni:

  1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  3. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  4. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  5. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  6. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  7. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  8. il diritto di proporre reclamo ad un’autorità di controllo;
  9. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

Nel caso in esame (associazione sportiva dilettantistica) non si ritengono pertinenti

  • l’indicazione dei dati relativi al responsabile della protezione dei dati (previsto nei casi indicati nell’art. 37 del GDPR);
  • le indicazioni circa il trasferimento all’estero o ad un’organizzazione internazionale dei dati personali;
  • l’indicazione dell’esistenza di un processo decisionale automatizzato, compresa la profilazione (cfr. GDPR articolo 22, paragrafi 1 e 4) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

che però, se applicabili, vanno inseriti nell’informativa.

Quanto ai dati sanitari, l’associazione non dovrebbe trattarli poiché sono di pertinenza del medico sportivo e quindi spetta a lui effettuarne la raccolta, il trattamento e l’archiviazione secondo le regole che già ora sono vigenti e che saranno integrate con la normativa europea.

pubblicato sulla Newsletter n. 5/2018  della rivista online “Fiscosport.it” (www.fiscosport.it)