Protezione dei dati nelle associazioni
La protezione dei dati nelle associazioni
Le spiegazioni che seguono hanno l’obiettivo di aiutare le associazioni e i loro soci a essere consapevoli dei loro diritti e doveri. L’accento è posto in particolare sugli eventuali nuovi obblighi a seguito della revisione della legge sulla protezione dei dati (LPD).
Se intendete divenire membri di un’associazione dovete trasmettere un certo numero di dati personali: i vostri indirizzi postale e di posta elettronica, il vostro numero di telefono, la vostra data di nascita, ecc. Inoltre le vostre attività in quanto membri comportano spesso il trattamento di altre informazioni sulla vostra persona quali, nel caso di un club sportivo o di fitness, foto che vi ritraggono e vostre prestazioni. La raccolta e il trattamento di questi dati personali, ad esempio la loro pubblicazione o la loro comunicazione a terzi quali sponsor, sono soggetti alle condizioni disciplinate dalla legge federale sulla protezione dei dati.
Il comitato dell’associazione è responsabile dell’utilizzazione dei dati concernenti i membri in maniera conforme alla legge. Il comitato può esigere dai membri dell’associazione unicamente i dati personali che hanno un rapporto diretto con lo scopo dell’associazione fissato negli statuti. Se intende raccogliere e trattare altri dati dei membri dell’associazione o utilizzarli per altri fini, oppure pubblicarli (p. es. sul suo sito web) il comitato deve informare previamente i membri dei motivi del trattamento dei dati e del suo carattere facoltativo.
Il comitato dovrà in particolare rispettare i seguenti principi:
- Principio di destinazione vincolata: i dati possono essere raccolti soltanto per gli scopi definiti e riconoscibili per la persona interessata e devono essere trattati ulteriormente in modo compatibile con tali scopi.
- Principio di trasparenza: i membri dell’associazione devono essere informati nel caso in cui i loro dati personali siano comunicati a terzi o ad altri membri, come pure riguardo al destinatario e allo scopo della comunicazione dei loro dati.
- Principio della proporzionalità: possono essere trattati soltanto i dati effettivamente necessari alla realizzazione dello scopo dell’associazione.
Domande frequenti
Chi è il titolare del trattamento ai sensi dell’articolo 5 j LPD?
Verso l’esterno è generalmente considerato titolare del trattamento l’intera associazione: la persona giuridica è quindi, ad esempio, responsabile del trattamento dei dati e della tutela dei diritti nei confronti delle persone interessate e dell’IFPDT.
Tuttavia, in linea di principio, le sanzioni penali previste dalla LPD non colpiscono la persona giuridica, ma la persona fisica che è effettivamente responsabile del rispetto della LPD e che ha concretamente commesso una delle infrazioni enunciate all’articolo 60 LPD e seguenti (per altre informazioni sulle sanzioni penali vedi :
La responsabilità (penale) di questa persona dipende dalla sua funzione e dal suo ruolo concreti nel caso specifico – a priori incombe a persone con una funzione direttiva.
Chi, all’interno dell’associazione, è responsabile del rispetto delle disposizioni in materia di protezione dei dati?
In quanto corporazioni, le associazioni sono gestite e rappresentate dai propri organi. L’organo supremo dell’associazione è l’assemblea dei soci, che tra questi elegge i membri della direzione (organo esecutivo), che rappresentano l’associazione verso l’esterno.
Nelle associazioni l’organo competente per il rispetto delle disposizioni in materia di protezione dei dati è la direzione. Se questa istituisce, ad esempio, un ufficio che gestisce le operazioni quotidiane, è tenuta a integrare linee guida in materia di protezione dei dati nel regolamento interno dell’ufficio e a monitorarne regolarmente la gestione. Concretamente i compiti legati all’attuazione delle disposizioni in materia di protezione dei dati possono essere attribuiti anche a una persona specifica, che può, ma non deve, essere un membro della direzione. A prescindere da chi è responsabile di introdurre e sorvegliare le misure relative alla protezione dei dati, è importante che l’ufficio o la persona in questione abbia una visione d’insieme sufficientemente precisa dei trattamenti di dati effettuati. In ogni caso i ruoli devono essere chiaramente definiti affinché non accada che la questione non sia affrontata poiché non adeguatamente disciplinata. Se necessario, le persone responsabili sono quindi tenute a definire i processi di trattamento e i relativi regolamenti (in particolare quello sul trattamento).
Le associazioni devono avere il consenso dei soci per trattarne i dati?
La revisione di legge non ha modificato sostanzialmente i principi relativi al trattamento. I dati personali devono essere trattati in modo lecito e il trattamento deve essere conforme ai principi della buona fede e della proporzionalità (cfr. art. 6 LPD). Il trattamento di dati personali dei soci di un’associazione senza il loro consenso è ammesso se è, ad esempio, necessario per attuare lo scopo dell’associazione. È fondamentale che i dati siano trattati esclusivamente per lo scopo per cui sono stati raccolti e che tale scopo sia riconoscibile per la persona interessata (principio della finalità). In merito si rimanda alle considerazioni che seguono sull’articolo 19 LPD, che concretizza l’obbligo di informare del titolare.
Il trattamento di dati personali non conforme ai principi in materia di protezione dei dati (p. es. per un altro scopo) può comportare una violazione della personalità della persona interessata, che può tuttavia essere giustificata se sussiste un interesse privato o pubblico preponderante (p. es. trattamento di dati in relazione diretta con un contratto) o se la persona interessata ha dato il suo consenso.
Se un trattamento di dati richiede il consenso della persona interessata, questa deve essere debitamente informata di tutti gli aspetti essenziali del trattamento. In merito si rimanda alle considerazioni che seguono sull’articolo 19 LPD. Per il trattamento di dati personali degni di particolare protezione (p. es. i dati sanitari) o la profilazione a rischio elevato la legge richiede l’espresso consenso. Ciò significa che la persona interessata deve acconsentire esplicitamente al trattamento dei dati.
È ammesso pubblicare le foto dei soci sul sito Internet dell’associazione?
La pubblicazione di foto sul sito Internet dell’associazione è giustificata se le persone interessate hanno dato il loro consenso. Il consenso può tuttavia essere revocato in qualsiasi momento. In assenza di altri motivi giustificativi, l’associazione deve rimuovere le foto in questione senza indugio. A tal proposito cfr. le regole da seguire quando si scattano e pubblicano fotografie:
È ammesso comunicare il nome di un donatore alla famiglia di una persona deceduta?
Comunicare il nome dei donatori e degli importi donati alla famiglia del defunto richiede il consenso dei donatori. Questi devono essere informati, già al momento della donazione, che i loro dati saranno trasmessi e occorre offrire loro un modo semplice per accettare o rifiutare la trasmissione dei dati, ad esempio con un’osservazione sulla polizza di versamento.
Comunicazione dei dati dei soci
Comunicazione dei dati dei membri in seno all’associazione
Di principio il comitato provvede affinché le informazioni siano comunicate a tutti i membri dell’associazione. Se tale comunicazione ha luogo in via elettronica, utilizzerà la funzione «copia conoscenza nascosta» al fine di evitare che gli indirizzi e-mail siano comunicati agli altri membri.
La comunicazione di dati di membri (p.es. consegna della lista dei membri con gli indirizzi) ad altri membri è di principio autorizzata unicamente se il consenso di ciascun membro è stato previamente richiesto e lo scopo dell’utilizzazione dei dati comunicati è stato chiaramente definito (p.es. per la presa di contatto tra i membri, per le attività in relazione con l’associazione, ma non a scopo di marketing).
Caso speciale: comunicazione dei dati all’organizzazione mantello
L'organizzazione mantello o la federazione è una persona giuridica indipendente dall’associazione che, di conseguenza, ha lo statuto di terzo nei confronti dei membri. I dati di quest’ultimi possono quindi essere trasmessi all’organizzazione mantello soltanto se le persone interessate vi hanno dato il consenso o se ciò è previsto dagli statuti.
Comunicazione dei dati di membri a terzi (esterni all’associazione)
La comunicazione di dati di membri a terzi è autorizzata soltanto se i membri sono stati informati degli scopi della comunicazione di tali dati e se essi vi hanno espressamente acconsentito o hanno la possibilità di opporvisi d’anticipo. L’informazione deve precisare quali dati (indirizzo, data di nascita, numero di telefono, ecc.) sono comunicati, a quali scopi (p.es. pubblicità, rilascio di una licenza) e a quali terzi (sponsor, federazione ecc.).
Gli statuti o regolamenti specifici possono prevedere all’occorrenza tale comunicazione.
La comunicazione dei dati a terzi è parimenti ipotizzabile quando la legge lo prevede o lo prescrive (p. es. la comunicazione dei dati in una procedura penale).
Pubblicazione dei dati di membri
Prima di qualsiasi pubblicazione, ad esempio in una rivista o sul sito web dell’associazione, il comitato di quest’ultima valuta se è opportuno, dal profilo del contesto e dello scopo, pubblicare i dati interessati e ne informa i membri. La pubblicazione dei dati su Internet comporta rischi accresciuti di lesione della personalità. Le informazioni pubblicate divengono accessibili nel mondo intero e le persone interessate non hanno alcun controllo sull’uso che viene fatto di questi dati. Risulta quasi impossibile cancellare ciò che viene pubblicato su Internet. Pertanto conviene limitare l’accesso ai dati dei membri a una cerchia ristretta di persone, in uno spazio riservato sul sito web.
Caso concreto:
La pubblicazione del processo verbale dell’assemblea generale sul sito web comporta l’accesso al contenuto del verbale da parte di un numero illimitato di persone nel mondo intero. Dato che voi dovete inviare quest’ultimo soltanto ai vostri membri, la pubblicazione su Internet costituirebbe un trattamento sproporzionato di dati personali. Un’alternativa che garantisca l’accesso al contenuto del verbale ai soli membri dell’associazione sarebbe più appropriata.
Quali sono le novità più importanti? (diritti e obblighi)
Rafforzamento del principio di minimizzazione dei dati
Secondo il principio della proporzionalità (cfr. art. 6 cpv. 2 LPD) possono essere trattati unicamente i dati personali idonei e necessari al raggiungimento dello scopo del trattamento. Il rapporto tra lo scopo e i mezzi utilizzati deve essere commisurato e i diritti delle persone interessate devono essere per quanto possibile tutelati. Il principio della proporzionalità si sovrappone in parte al nuovo principio della «protezione dei dati personali sin dalla progettazione e per impostazione predefinita», concretizzato nell’articolo 7 LPD.
Secondo tale principio le associazioni e le società devono predisporre il trattamento in modo che questo sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.
I dati personali devono essere cancellati o anonimizzati non appena non sono più necessari per raggiungere lo scopo del trattamento e se non è prescritto un obbligo di conservazione, quale ad esempio l’obbligo di conservare per dieci anni i rapporti annuali, i conti annuali e i documenti contabili.
Obbligo di informare sulla raccolta di dati personali
L’obbligo di informare secondo l’articolo 19 LPD concerne tutti i trattamenti dei dati e mira a migliorare la trasparenza nei trattamenti dei dati, rafforzando anche i diritti delle persone interessate. In particolare, devono essere fornite informazioni sull’identità e i dati di contatto del titolare del trattamento, la raccolta di dati personali, lo scopo del trattamento e altre indicazioni secondo l’articolo 19 capoverso 2 LPD.
Le informazioni devono essere fornite quando i dati personali sono raccolti presso la persona interessata. L’obbligo di informare si applica anche se i dati non sono raccolti direttamente presso la persona interessata. Le informazioni fornite alla persona interessata devono essere precise, trasparenti, comprensibili e facilmente accessibili. Quanto più sensibili sono i dati personali trattati e quanto maggiore è il rischio di violazione della personalità, tanto più elevati sono i requisiti per l’entità e il grado di dettaglio delle informazioni da fornire alla persona interessata.
Al lato pratico ha dato buoni risultati la prassi di formulare tutte le informazioni sulla raccolta dei dati e sul loro successivo trattamento, che sono rilevanti sotto il profilo dell’obbligo della trasparenza, in avvertenze o disposizioni sulla protezione dei dati separate e di pubblicarle poi, ad esempio, sul sito Internet dell’organizzazione o dell’associazione. Quando si raccolgono dati personali è in tal modo possibile rinviare a queste informazioni a tutti accessibili.
Nel contesto dei siti Internet questi avvisi sono denominati dichiarazioni sulla protezione dei dati. Se i dati personali sono raccolti in Internet (ad esempio, tramite un modulo di contatto), è possibile informare in una dichiarazione sulla protezione dei dati (strutturata a più livelli). Nella scelta del modo in cui informare, il titolare del trattamento deve garantire che le persone interessate ricevano le informazioni più importanti al primo livello di comunicazione.
Per approfondimenti si consultino le ulteriori informazioni già pubblicate nel nostro sito Internet:
Ai sensi della nuova legge è necessario informare tutti i soci sui dati già raccolti?
Con l’entrata in vigore della nuova legge sulla protezione dei dati, i principi del trattamento dei dati sono rimasti sostanzialmente invariati (cfr. sopra). Questo significa che i titolari del trattamento dei dati non sono tenuti a informare di nuovo le persone interessate in merito ai trattamenti di dati già in essere prima del 1° settembre 2023, sempre che questi fossero già riconoscibili e non siano cambiati.
Rafforzare i diritti delle persone interessate
Le persone i cui dati personali sono trattati hanno il diritto di ottenere informazioni sui propri dati. Di norma, tali informazioni devono essere fornite entro 30 giorni e senza alcun costo per la persona interessata. Inoltre, le persone interessate hanno anche il diritto di far correggere i dati errati o di richiederne la cancellazione. Le associazioni e le società devono offrire alle persone interessate un modo semplice per esercitare i loro diritti. Ecco perché è così importante fornire le informazioni secondo l’articolo 19 LPD. Le informazioni su questi diritti possono, ad esempio, essere collocate nel proprio sito Internet con l’indicazione di un indirizzo di contatto.
Obbligo di effettuare una valutazione d’impatto sulla protezione dei dati
Se si pianificano nuovi trattamenti di dati che potrebbero potenzialmente comportare rischi elevati per le persone interessate, è necessario effettuare una valutazione d’impatto sulla protezione dei dati. Questa deve documentare con esattezza il progetto ed esaminare le relative misure per proteggere le persone interessate. Secondo l’articolo 22 capoverso 2 LPD, il rischio elevato, in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento. Quanto più ampio è il trattamento e quanto più sensibili sono i dati trattati, tanto più il rischio è elevato.
Per le organizzazioni relativamente piccole, come le associazioni, non è sempre chiaro se una tale analisi debba essere effettuata. È quindi consigliabile svolgere una valutazione preliminare del rischio per avere un’idea più concreta dei trattamenti dei dati e dei rischi e poter quindi valutare su una base più oggettiva se sia necessario effettuare una valutazione d’impatto.
Per ulteriori informazioni sull’esecuzione di una valutazione d’impatto, si consultino le informazioni già pubblicate nel nostro sito Internet:
Obbligo di redigere un regolamento sul trattamento
Secondo l’articolo 5 dell’ordinanza sulla protezione dei dati (OPDa), il titolare privato del trattamento dei dati e il suo responsabile privato devono stabilire un regolamento per i trattamenti automatizzati (ovvero non soltanto in forma analogica, ma anche con l’ausilio di computer, smartphone, tablet o telecamere) se trattano su grande scala dati personali degni di particolare protezione o eseguono una profilazione a rischio elevato.
L’espressione «su grande scala» si riferisce ai casi in cui i dati personali degni di particolare protezione non sono trattati soltanto singolarmente. Sussiste un trattamento su grande scala, ad esempio, se il trattamento di dati personali degni di particolare protezione è una delle attività principali dell’associazione. Le associazioni nei settori della sanità e dei servizi sociali (tipicamente le associazioni di pazienti) sono probabilmente interessate da questo obbligo.
La profilazione a rischio elevato è un trattamento che consente di valutare aspetti chiave della personalità, ovvero di fornire un quadro completo di una persona, ad esempio informazioni provenienti da applicazioni per la salute come i fitness tracker che raccolgono e collegano una grande quantità di dati diversi.
Obbligo di tenere un registro delle attività di trattamento
Il titolare del trattamento e tutti i responsabili del trattamento hanno l’obbligo di tenere ognuno un registro delle rispettive attività di trattamento. Il registro è una descrizione generale delle attività di trattamento con almeno le informazioni elencate all’articolo 12 capoversi 2 e 3 LPD e serve a garantire la trasparenza e a ottemperare all’obbligo di documentare.
Le associazioni e le società con meno di 250 collaboratori (inclusi i collaboratori a titolo volontario) i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate sono generalmente esentate dall’obbligo di tenere un registro, a meno che non siano trattati su larga scala dati personali degni di particolare protezione o venga eseguita una profilazione ad alto rischio (art. 24 lett. a e b OPDa). Le associazioni nei settori della sanità e dei servizi sociali (tipicamente le associazioni di pazienti) sono probabilmente interessate da questo obbligo a causa del criterio del trattamento su larga scala di dati personali degni di particolare protezione. Indipendentemente dall’obbligo, il registro è uno strumento utile per avere una conoscenza sufficiente dei processi di trattamento nella propria organizzazione.
Riconoscimento di codici di condotta di associazioni professionali, di settore ed economiche
Le associazioni professionali, di settore ed economiche autorizzate dai loro statuti a difendere gli interessi economici dei loro soci possono sottoporre codici di condotta che specifichino aspetti della LPD per il loro rispettivo settore e aiutino ad applicare correttamente le norme sulla protezione dei dati (art. 11 LPD). Ad esempio, le spiegazioni possono contribuire a definire il «rischio elevato» secondo l’articolo 22 capoverso 1. Tali codici di condotta possono essere sottoposti dietro pagamento all’attenzione dell'IFPDT per un suo parere; non vi è tuttavia alcun obbligo in tal senso.
Quali dati riguardanti manifestazioni sportive di massa possono essere trattati?
Con l’avvento dello smartphone e delle reti sociali le fotografie sono diventate una parte integrante della nostra vita quotidiana. Qui di seguito vi indichiamo le regole da seguire.
I motori di ricerca rendono accessibili a chiunque le informazioni pubblicate in un determinato momento in Internet, anche quelle che preferiremmo venissero dimenticate.
Consultate le nostre FAQ o chiamate la nostra hotline.
Conformemente alla legge federale sulla protezione dei dati, chiunque può chiedere al titolare del trattamento se i dati personali che lo concernono sono oggetto di trattamento.
Qui potete trovare le informazioni sulla LPD, entreta in vigore l'1.9.2023.