Il documento privacy previsto dall’art. 30 del GDPR è quello in cui il titolare del trattamento, e in alcuni casi anche il responsabile, mappa e aggiorna i trattamenti di dati personali che svolge. Il Garante per la Privacy lo considera uno degli strumenti principali di accountability, perché offre una panoramica aggiornata dei trattamenti in corso, utile anche per l’analisi dei rischi. Specifica inoltre che deve essere in forma scritta, anche elettronica, e disponibile su richiesta dell’Autorità.
In parole semplici, non è un registro delle persone, ma un registro delle attività privacy. Quindi non contiene “l’elenco dei tesserati”, ma l’elenco dei principali trattamenti svolti dall’organizzazione, per esempio:
gestione tesseramenti;
gestione certificati medici;
invio newsletter;
videosorveglianza;
gestione dipendenti/collaboratori;
pubblicazione foto e video.
Per ogni trattamento, il Garante per la Privacy indica che il registro deve includere almeno le informazioni richieste dall’art. 30 GDPR, come: finalità del trattamento, base giuridica, categorie di interessati, categorie di dati, destinatari, eventuali trasferimenti verso Paesi terzi, tempi di cancellazione/conservazione e misure di sicurezza. Inoltre, il registro deve essere costantemente aggiornato e riportare in modo verificabile la data di creazione e quella dell’ultimo aggiornamento.
Per una ASD/SSD affiliata al CSI, un punto importante è questo: il Garante specifica che anche le organizzazioni con meno di 250 dipendenti devono tenere il registro quando effettuano trattamenti non occasionali o trattano categorie particolari di dati, citando espressamente le associazioni sportive in relazione ai dati sanitari trattati. Quindi, per una ASD/SSD che gestisce certificati medici o altri dati sanitari dei tesserati, il registro dei trattamenti è generalmente un adempimento da considerare necessario.
Per chiarire meglio, una scheda del registro di una ASD/SSD potrebbe essere strutturata così:
Trattamento: gestione tesseramento atleti
Finalità: iscrizione, copertura assicurativa, partecipazione all’attività sportiva
Interessati: atleti, genitori dei minori
Dati: anagrafici, contatti, dati sportivi, eventuali dati sanitari necessari
Destinatari: CSI, assicurazione, consulente gestionale, fornitore software
Conservazione: secondo termini associativi, civilistici e regolamentari
Misure di sicurezza: accessi limitati, archivi protetti, password, istruzioni interne.
In sintesi, quindi, una ASD/SSD dovrebbe avere anche il registro dei trattamenti, cioè una sorta di mappa interna ufficiale di tutti i trattamenti privacy che svolge, per sapere:
quali dati raccoglie;
perché li raccoglie;
su quale base giuridica;
chi li può vedere;
per quanto tempo li conserva;
come li protegge.
Sul portale https://www.mycsi.it, accessibile con le stesse credenziali del Tesseramento Online CSI, è possibile andare al link "Moduli, fac simili e materiali", poi alla categoria "Facsimili documenti sociali" e infine alla sezione "Privacy", dove si può scaricare gratuitamente il file Word “Registro trattamenti dati personali”, un modello su cui lavorare.