IL CONSENSO E LE INFORMATIVE PER LA

PRIVACY, secondo il Regolamento UE 2016/679

In seguito all’approvazione del D.Lgs 101/2018, che ha preso atto dell’entrata in

vigore del Regolamento UE 2016/679 ed ha emendato il D.Lgs 196/2003, le

modalità di raccolta del consenso per l’uso dei dati delle persone fisiche sono

cambiate.

Il D.Lgs 101/2018 ha completamente abrogato gli art. 13 e 14 del D.Lgs 196/2003,

per questo nelle liberatorie per il consenso va eliminato ogni riferimento alla

196, ma devono essere citati gli art. 13 e 14 del Regolamento 679.

Il Regolamento ha introdotto una distinzione tra “consenso” ed “informativa”:

-     Il consenso

deve sempre raccolto quando vengono richiesti dati “particolari” delle persone (i

dati sensibili secondo la vecchia definizione). La richiesta del consenso deve

presentare sempre le due alternative (“do il consenso”, “nego il consenso”) sia

nei documenti cartacei che nei format informatici; il consenso deve essere

espresso in forma chiara ed esplicita (presenza della firma o del fleg

sull’alternativa scelta).

-        Quando vengono trattati solo dati personali

comuni, se questi riguardano la gestione di un contratto (di qualsiasi

genere), la firma del contratto equivale ad un consenso esplicito. In questo

caso non è necessario aggiungere altre firme o fleg, ma è sufficiente mettere a

disposizione della persona una “informativa”.

Il testo dell’informativa può essere quello utilizzato per raccogliere il

consenso, senza lo spazio per la firma.

Chiarite queste due differenze, c’è un altro obbligo richiesto dal Regolamento; è una

novità significativa, che ha importanti conseguenze. E’ un punto centrale del

Regolamento, non sempre compreso in modo chiaro.

A differenza del D.Lgs 196, che parlava principalmente di “trattamenti dei dati”, il Regolamento dice che il soggetto che

raccoglie i dati deve dichiarare in modo chiaro ed esplicito la o le FINALITA’ per le quali si stanno raccogliendo i dati personali.

Quindi non vanno elencati i trattamenti che saranno svolti ma deve essere, per

prima cosa, espressamente descritto lo scopo della raccolta dati. Il

Regolamento prevede inoltre che, se le finalità sono diverse e distinte, il

consenso deve essere dato necessariamente per ognuna di queste (non può essere

sommativo).

Concretamente significa che se si richiedono dei dati personali per poter erogare un servizio, di qualsiasi

genere, l’erogazione del servizio è la finalità della raccolta dei dati e, cosa

importante, tutti i trattamenti legati alla realizzazione di quel servizio diventano

quindi legittimi.

Il primo consiglio per le associazioni è quindi questo:

-         

richiedere il consenso sempre e solo per una sola finalità: la realizzazione di uno

specifico servizio. E’ inutile raccogliere troppi dati per finalità diverse

e, a volte, divergenti.

C’è solo una eccezione che riguarda le organizzazioni senza scopo di lucro; a

queste il Regolamento dà la possibilità di utilizzare una finalità accessoria, e

cioè:

-         dare informazioni ai propri soci, agli ex-soci,

alle “persone che hanno un regolare rapporto” con l’associazione (e possono

essere gli utenti dei servizi) sulle proprie attività ed i propri servizi, a

condizione di non diffondere i dati personali ad altri e diversi soggetti (art.

9, lettera d) del Regolamento UE).

Quindi una associazione può raccogliere il consenso per utilizzare i dati per la

realizzazione di un servizio (o di un “contratto”, come può essere l’atto di

associazione o adesione) e può correttamente utilizzare i dati di contatto (l’indirizzo

postale, l’indirizzo e-mail, il telefono) per informare la persone sulle

proprie attività e sugli eventi che organizzerà.

Ed ora vediamo come deve essere il testo da utilizzare per raccogliere il

consenso. Il Regolamento definisce in modo preciso i suoi contenuti,

introducendo delle informazioni aggiuntive rispetto alle “vecchie” liberatorie

(che quindi è meglio non utilizzare più).

Il Regolamento dice anche, in modo esplicito, che il testo deve essere chiaro, semplice, comprensibile, cioè si

invita a non presentare e far sottoscrivere un testo di più pagine in caratteri microscopici. E’ un

chiaro invito ad evitare l’uso di testi lunghi e complessi, che nessuno leggerà;

è anche un invito alle persone a non firmare testi di questo genere, senza

averli ben letti e compresi.

Il Regolamento ci sta dicendo che la persona deve essere informata, deve essere

consapevole e deve dare il consenso perché d’accordo, senza essere influenzata

o, peggio, ricattata in alcun modo.

Ultima notazione: se avete dei documenti (per esempio dei Curriculum Vitae) in cui c’è

la dizione “secondo quanto previsto

dall’art. 13 del D.Lgs 196/2003”, deve essere fatto solo un piccolo

cambiamento. L’art. 13 del D.Lgs 196/2003 è stato abrogato, non esiste più. Per

puro caso è stato completamente sostituito dall’art. 13 del Regolamento UE

2016/679. Quindi la frase corretta ora è “secondo

quanto previsto dall’art. 13 del Regolamento UE 2016/679”.

Possiamo a questo punto vedere, passo a passo, i punti del modulo del consenso.

1. Introduzione:

mi presento e aderisco al Regolamento:

La frase introduttiva serve semplicemente a dare i riferimenti normativi ed a dire

chi sono e può essere questa:

“In ottemperanza agli adempimenti richiesti dagli art. 13 e 14 del

Regolamento UE 2016/679 per la protezione dei dati personali le comunichiamo le

modalità di raccolta ed utilizzo dei dati di Media

Point 95”.

2. Finalità della raccolta dei dati

A questo punto si deve dire perché chiediamo i dati, la finalità; la cosa più

semplice è fare riferimento esplicito ad un singolo servizio, nel caso, ad

esempio, che l’associazione abbia una finalità unica e definita. Altrimenti, se

si svolgono attività diverse (come ad esempio, il trasporto di disabili e la gestione

di un nido) si utilizza un testo generale. Se insieme ai dati generali, si

ritiene che possano essere raccolti anche dei dati particolari, come quelli

sulla salute, è meglio precisare subito che si raccolgono anche “dati

particolari”.

Si aggiunge una breve frase dove si dice che i dati saranno inseriti nel proprio

sistema informativo e trattati da personale autorizzato; si aggiunge che il

loro trattamento è lecito e verrà fatto in modo trasparente e responsabile. 

Il testo può essere questo:

“I dati personali, generali e dove richiesti “particolari”, sono

raccolti per la gestione organizzativa,

amministrativa del servizio (socio-assistenziale, sportivo, ricreativo,

culturale, ecc.) da lei richiesto. Sono inseriti nel nostro sistema

informativo e vengono trattati da personale autorizzato. Il loro trattamento è

legittimo e verrà fatto in modo trasparente e responsabile.”

3.     Obbligatorietà e trattamenti previsti

Il conferimento dei dati, se richiesto per la realizzazione di un servizio è

normalmente “obbligatorio”. In altri casi, se per esempio si descrive una

seconda finalità, aggiuntiva, può essere facoltativo. Bisogna specificarlo,

nell’esempio che si riporta, poiché non vi sono altre finalità, viene scritto

che il conferimento è obbligatorio. Si può aggiungere una frase generica sui

trattamenti previsti.

“Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale rinuncia al conferimento dei dati,

renderebbe impossibile la gestione delle procedure organizzative,

amministrative e fiscali del servizio da lei richiesto.”

4. Soggetti a cui verranno comunicati i dati

A questo punto dobbiamo specificare se vi sono soggetti esterni ai quali

potrebbero essere comunicati i dati. C’è una prima distinzione letterale da

fare, richiesta dal Regolamento: i dati infatti possono essere:

-         

diffusi

-         

o comunicati.

La regola principale, che evita problemi, è quella di confermare che i dati non

verranno mai diffusi, cioè diffusi in modo indiscriminato a soggetti esterni per

un uso totalmente diverso o indiscriminato. 

Possiamo invece, legittimamente “comunicarli” solo ad alcuni, soggetti

se ciò:

-       è necessario per la realizzazione concreta del

servizio (può essere una assicurazione, il commercialista, la banca per i

pagamenti ecc.).

-       oppure è richiesto per obblighi normativi o

contrattuali (per esempio, perché esiste un obbligo di legge, od in presenza di

una convenzione con un ente pubblico.

“I suoi dati personali non saranno da noi diffusi; potranno essere

comunicati ad eventuali enti pubblici, come …………………,

solo qualora vi siano degli obblighi di legge, od ad altri organismi che

collaborano con noi nella realizzazione del servizio”.

5.     Periodo

di conservazione. Diffusione extra-UE

Il

Regolamento richiede obbligatoriamente due informazioni che non erano presenti

nelle liberatorie fatte sulla base del D.Lgs 196/2003, e sono:

-         

il tempo di conservazione dei dati;

-         

la eventuale diffusione dei dati in paesi non

comunitari (extra-UE).

Per

il tempo di conservazione, il Regolamento dice che i dati vanno conservati per

un periodo temporale definito, con un termine. Alla scadenza del tempo

stabilito i dati dovranno essere cancellati. Il periodo di conservazione può

essere distinto in tre parti:

-         

per la urata del servizio richiesto o dell’attività scelta (come, ad esempio, per

il tempo di adesione od associazione);

-         

per un ulteriore periodo, se può essere richiesto per la gestione amministrativa dei

documenti o perché vi sono degli obblighi normativi (i dati contabili vanno

tenuti per dieci anni ecc.);

-         

per un ulteriore periodo (ad esempio dopo i 10 anni) solo ed esclusivamente per o come

“archivio storico”, ma in questo caso la conservazione legittima può

riguardare solo una parte della documentazione (ad esempio, le certificazioni o

le attestazioni formative o delle attività svolte).

Il secondo obbligo è quello della diffusione in paesi extra-UE. Il Regolamento si

occupa della protezione dei dati delle persone e, dopo il 25 maggio 2018, è una

norma applicata in tutti i paesi della Comunità. Il Regolamento chiede una cosa

in più, sempre a tutela delle persone: evitare di diffondere i dati nei paesi

che non applicano o non riconoscono il Regolamento e che non danno garanzie

come sistemi di protezione. Vi è un elenco di paesi extra-UE che hanno già

dichiarato di essere disponibili ad applicare il Regolamento, ma per ora è un

elenco alquanto ridotto.

Gli dempimenti richiesti su questo aspetto sono due:

-         

in ogni caso dobbiamo dire alla persona che ci

sta dando i dati se questi dati verranno inviati (o depositati) presso paesi

extra-comunitari (e sorge il problema, ad esempio, di dove sono collocati i server

di eventuali cloud utilizzati)

-         

se prevedo di esportarli in paesi extra devo

richiedere una autorizzazione al Garante.

La rase può essere questa:

“I suoi dati verranno conservati per il periodo richiesto

per l’erogazione del servizio ed in ogni caso non superiore a 5 anni. I suoi

dati non verranno diffusi in paesi extra-Unione Europea.”

6.    Altri trattamenti connessi alla finalità principale

Questa una aggiunta specifica per le associazioni senza scopo di lucro, che richiama

quanto già detto prima, cioè la possibilità per le organizzazione non profit di

“informare regolarmente i propri associati od utenti dei servizi” sulle proprie

iniziative ed attività. Il testo è il seguente:

“I suoi dati di reperibilità potranno altresì essere

utilizzati da Media Point 95 esclusivamente per

informarla sui nostri servizi ed iniziative sociali.”

7.     Diritti della persona

Il Regolamento impone l’obbligo, in ogni liberatoria privacy, di elencare i

diritti della persona, che sono leggermente cambiati rispetto a quelli previsti

dal D.Lgs 196/2003; in più c’è il “diritto all’oblio”, cioè alla cancellazione

totale da ogni archivio, cartaceo e digitale, di tutti i dati di una persona.

E’ un diritto che riguarda soprattutto i social network ed in modo particolare

i motori di ricerca. Lo si deve citare ma è sarà probabilmente richiesto solo

in situazioni particolari.

Bisogna dire dove la persona deve rivolgersi per richiedere questi diritti. Il testo

diventa questo:

 “Nella gestione dei suoi dati personali si terrà conto dei suoi diritti (articoli da 15 a 22 del Regolamento

2016/679), e cioè il diritto all’accesso, alla rettifica ed alla cancellazione

(diritto all’oblio), alla limitazione del trattamento, all’opposizione al

trattamento, il diritto di proporre un reclamo al Garante Privacy. Le richieste

di applicazione dei suoi diritti vanno indirizzate al titolare del trattamento,

utilizzando i recapiti sotto-riportati.”

8.     Titolare del trattamento

Infine,

vanno inseriti i dati che permettano di individuare il titolare del trattamento

(ed è l’organizzazione e non è necessario inserire uno specifico nome) e come

raggiungerlo. Quindi semplicemente:

Titolare del trattamento dei dati è ragione

sociale ………….., Via …………… – Località……………. (…..); Telefono ……………..; E-mail: …………………. 

9.    Chiusura

In fondo si mette lo spazio per la data e

la firma dell’interessato.

Il sottoscritto ____________________________________ esprime il proprio

consenso per il trattamento dei propri dati personali per le finalità

soprariportate.

Luogo e data: _________________________                                 Firma

________________________________

 10.

Ritorniamo

alla distinzione tra consenso ed informativa

Il

testo con la data e la firma si utilizza per la raccolta del consenso; se

invece è sufficiente una informativa perché c’è un contratto già sottoscritto

dalla persona che dà i dati (sul modulo di adesione, sulla richiesta di un

servizio), non è necessario richiedere una ulteriore firma. Questa informativa,

invece di essere consegnata ad ogni singola persona può anche essere resa

pubblica e disponibile pubblicandola sul sito web dell’associazione.

In questo caso è sufficiente aggiungere (sul contratto o sul modulo di

iscrizione/adesione) una frase come la seguente:

Dichiarazione sul trattamento

dei dati (Regolamento UE 2016/679)

Le comunichiamo che la sottoscrizione del presente contratto (o

richiesta di un servizio / adesione) equivale a liberatoria nell’uso dei suoi

dati generali, in quanto “il trattamento è necessario all’esecuzione del

contratto di cui l’interessato è parte” (dall’Art. 6, comma 1, lettera b). Una

informativa generale sulle modalità di trattamento è in ogni caso pubblicata

sul sito www…………….it sotto la voce “Informative

privacy”.

Ed ora ecco i due testi completi:

A)   

Modulo per il consenso.

B)   

Informativa senza firma.

A) INFORMATIVA

AI SENSI DEL REGOLAMENTO UE 2016/679 SULLA PROTEZIONE DEI DATI

PER GLI UTENTI DEI SERVIZI (consenso con firma)

In ottemperanza agli adempimenti richiesti dagli art.

13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali le

comunichiamo le modalità di raccolta ed utilizzo dei dati di ragione sociale

1.      

Finalità della raccolta dati. I dati personali, comuni e dove richiesti

“particolari”, sono raccolti per la

gestione organizzativa, amministrativa del servizio (socio-assistenziale, sportivo, ricreativo,

culturale, ecc) da lei richiesto. Sono inseriti nel nostro

sistema informativo e vengono trattati da personale autorizzato. Il loro

trattamento è legittimo e verrà fatto in modo trasparente e responsabile.

2.      

Obbligatorietà e trattamenti previsti. Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale

rinuncia al conferimento dei dati, renderebbe impossibile la gestione delle procedure

organizzative, amministrative e fiscali del servizio da lei richiesto.

3.      

Soggetti a cui verranno comunicati i dati. I suoi dati personali non saranno da noi diffusi; potranno essere comunicati ad eventuali

enti pubblici, come strutture sanitarie, solo qualora vi siano degli

obblighi di legge, od alle organizzazioni che collaborano con noi nella

realizzazione del servizio richiesto.

4.      

Periodo di conservazione, diffusione extra-UE. I suoi dati verranno conservati per il periodo

richiesto per l’erogazione del servizio ed in ogni caso non superiore a 5 anni.

I suoi dati non verranno diffusi in paesi extra-Unione Europea.  

5.      

Altri trattamenti connessi alla finalità principale. I suoi dati di reperibilità potranno altresì essere

utilizzati da ragione

sociale , in quanto soggetto senza scopo di lucro, esclusivamente

per informarla sui nostri servizi ed iniziative sociali.

Diritti

della persona che conferisce i dati.

Nella gestione dei suoi dati personali si terrà conto dei suoi diritti

(articoli da 15 a 22 del Regolamento 2016/679), e cioè il diritto all’accesso,

alla rettifica ed alla cancellazione (diritto all’oblio), alla limitazione del

trattamento, all ’opposizione al trattamento, il diritto di proporre un reclamo

al Garante Privacy. Le richieste di applicazione dei suoi diritti vanno

indirizzate al titolare del trattamento, utilizzando i recapiti sotto-riportati.

Titolare

del trattamento e suoi recapiti.

Titolare del trattamento dei dati è ragione sociale ………….., Via …………… – ………………. (…..); Telefono ……………..; E-mail: …………………. 

Consenso per

maggiorenni: Il sottoscritto

____________________________________ esprime il proprio consenso per il

trattamento dei propri dati personali per le finalità soprariportate.

Luogo e data: _________________________                                  Firma

________________________________

B) INFORMATIVA

AI SENSI DEL REGOLAMENTO UE 2016/679 SULLA PROTEZIONE DEI DATI

PER GLI ASSOCIATI, I COLLABORATORI ESTERNI (senza firma)

In ottemperanza agli adempimenti richiesti dagli art.

13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali le

comunichiamo le modalità di raccolta ed utilizzo dei dati di ragione sociale

1.      

Finalità della raccolta dati. I dati personali, comuni, sono raccolti per la gestione delle attività previste dal

contratto (o atto

di adesione) sottoscritto  Sono inseriti nel nostro sistema informativo e

vengono trattati da personale autorizzato. Il loro trattamento è legittimo e

verrà fatto in modo trasparente e responsabile.

2.      

Obbligatorietà e trattamenti previsti. Il conferimento dei suoi dati personali è obbligatorio. Una sua eventuale

rinuncia al conferimento dei dati, renderebbe impossibile la gestione delle procedure

organizzative, amministrative e fiscali del servizio da lei richiesto.

3.      

Soggetti a cui verranno comunicati i dati. I suoi dati personali non saranno da noi diffusi; potranno essere comunicati ad eventuali

enti pubblici solo qualora vi siano degli obblighi di legge, od alle

organizzazioni che collaborano con noi gestione del contratto in essere.

4.      

Periodo di conservazione, diffusione extra-UE. I suoi dati verranno conservati per il periodo

richiesto per l’erogazione del servizio ed in ogni caso non superiore a 5 anni.

I suoi dati non verranno diffusi in paesi extra-Unione Europea.  

5.      

Altri trattamenti connessi alla finalità principale. I suoi dati di reperibilità potranno altresì essere

utilizzati da ragione

sociale , in quanto soggetto senza scopo di lucro, esclusivamente

per informarla sui nostri servizi ed iniziative sociali.

Diritti

della persona che conferisce i dati.

Nella gestione dei suoi dati personali si terrà conto dei suoi diritti

(articoli da 15 a 22 del Regolamento 2016/679), e cioè il diritto all’accesso,

alla rettifica ed alla cancellazione (diritto all’oblio), alla limitazione del

trattamento, all ’opposizione al trattamento, il diritto di proporre un reclamo

al Garante Privacy. Le richieste di applicazione dei suoi diritti vanno

indirizzate al titolare del trattamento, utilizzando i recapiti sotto-riportati.

Titolare

del trattamento e suoi recapiti.

Titolare del trattamento dei dati è ragione sociale ………….., Via …………… – ………………. (…..); Telefono ……………..; E-mail: ………………….