Vuoi saperne di più su ClubDesk o hai domande tecniche? Siamo felici di aiutare!
Info su prezzi, versioni:
Domande tecniche e supporto:
Conoscenza del club 15 minuti di lettura
Informazioni sull'associazioneNorme sulla protezione dei dati per le associazioni svizzere – A cosa prestare attenzione
Quando si fonda o si gestisce un'associazione svizzera, spesso ci si chiede come adempiere correttamente agli obblighi in materia di protezione dei dati. Sebbene la protezione dei dati sia spesso percepita come un compito che riguarda principalmente le imprese, la questione riveste grande importanza anche nel settore associativo. Il diritto sulla protezione dei dati si applica anche alle associazioni. Dal club del libro locale all'associazione sportiva fino all'iniziativa culturale, tutti sono tenuti a garantire un trattamento sicuro dei dati personali.
Con la revisione della legge svizzera sulla protezione dei dati (LPD), nel settembre 2023 sono stati precisati i requisiti in materia di protezione dei dati in Svizzera. È indispensabile che anche le associazioni si adeguino a tali requisiti. È necessario sensibilizzare l'opinione pubblica sui dati personali raccolti, sulle modalità di trattamento e protezione degli stessi e su come garantire una protezione adeguata della sfera privata dei membri dell'associazione. In Svizzera, la responsabilità ricade sull'intero consiglio direttivo. Scoprite subito tutto sulla protezione dei dati per la vostra associazione e approfittate dei nostri consigli su come proteggere i dati dei vostri membri e altri dati personali in conformità con la legge.
L'essenziale in breve
- Le associazioni in Svizzera sono tenute a definire e attuare procedure interne che garantiscano la sicurezza e la protezione dei dati e rendano trasparente il trattamento di tutti i dati personali. Potete garantire che i dati della vostra associazione siano protetti contro la perdita e il furto di dati?
- È indispensabile verificare regolarmente che i dati siano ancora attuali e effettivamente necessari. I dati possono essere conservati solo per il tempo necessario, ovvero fino a quando sussiste uno scopo per il loro trattamento, e devono poi essere distrutti in modo sicuro. Avete una visione d'insieme di dove sono memorizzati i vostri dati? È garantito che i dati personali vengano effettivamente cancellati ovunque quando non sussiste più alcuno scopo di trattamento o quando un membro del comitato direttivo lascia l'associazione e non ha quindi più diritto di accedere a tali dati?
- I membri devono essere informati sulla raccolta dei dati, sul loro utilizzo e sui loro diritti in materia. La trasparenza è fondamentale. Avete informato i vostri membri su dove e per quale scopo conservate e trattate i loro dati? Un motivo comune potrebbe essere, ad esempio, quello di poter fatturare le quote associative annuali.
- Per il trattamento di informazioni sensibili come i dati sanitari o l'etnia, è solitamente necessario il consenso esplicito delle persone interessate, che deve essere ottenuto in modo chiaro e inequivocabile.
- Corsi di formazione regolari aiutano a sensibilizzare sul tema della protezione dei dati. A differenza dell'UE, in Svizzera non è necessario nominare un responsabile della protezione dei dati anche per le grandi associazioni. Si consiglia tuttavia di definire internamente un referente e di indicare nella dichiarazione sulla protezione dei dati un recapito per domande in materia.
Gestione corretta dei dati dei membri delle associazioni
In Svizzera siete tenuti a garantire alla vostra associazione una gestione semplice ed efficiente delle informazioni sui membri, rispettando al contempo la protezione dei dati. È fondamentale organizzare i vostri processi interni in modo tale che le persone non autorizzate non possano accedere a tali dati, mentre i collaboratori e i dipendenti dell'associazione possano visualizzare o elaborare i dati necessari per lo svolgimento delle loro mansioni all'interno dell'associazione. L'accesso deve essere limitato allo stretto necessario.
Protezione contro il furto di dati
Per proteggere i dati dei membri della vostra associazione da accessi non autorizzati, è importante implementare processi adeguati, adottare misure di sicurezza tecniche e documentarle nelle cosiddette misure tecniche e organizzative (TOM). In Svizzera non è obbligatorio tenere un registro delle attività di trattamento (solo a partire da 250 collaboratori). Tuttavia, è comunque vivamente consigliabile creare un registro delle attività di trattamento, poiché aiuta a mantenere una visione d'insieme. In caso contrario, sarà difficile attuare effettivamente le misure richieste dalla legge.
Se, ad esempio, i dati dei membri sono memorizzati su un computer privato, è essenziale stabilire delle linee guida per la sicurezza dei dati. Ciò potrebbe significare che il disco rigido deve essere crittografato o che il computer passa automaticamente in modalità di blocco se non viene utilizzato per alcuni minuti (per impedire che qualcuno vi acceda senza autorizzazione, ad esempio se il computer viene lasciato in treno). Oppure si dovrebbe stabilire che anche i backup dei dati devono essere crittografati e conservati in modo sicuro e che devono essere installati programmi antivirus adeguati.
Anche quando si inviano i dati dei membri via e-mail, ad esempio al tesoriere dell'associazione o in caso di cambio di carica, è necessario garantire canali di trasmissione sicuri. A tal fine è necessario definire procedure specifiche, fornire regolarmente formazione e, preferibilmente, documentarle. In caso di abuso dei dati, dovreste essere in grado di dimostrare quali misure di sicurezza avete definito e come sono state implementate.
Suggerimento software
Potete soddisfare molto più facilmente i requisiti in materia di protezione dei dati utilizzando un moderno software per club online come ClubDesk. Con ClubDesk siete al sicuro, perché qui le misure di protezione tecnica più elevate sono standard, dai firewall professionali ai backup sicuri. Inoltre, potrete beneficiare delle misure tecniche e organizzative (TOM) offerte da ClubDesk. Poiché i dati sono archiviati nel cloud, tutti gli interessati, dal presidente all'allenatore, possono accedere facilmente alle informazioni che li riguardano. Ciò significa che solo in rari casi sarà necessario inviare i dati dei membri.
Restrizioni di accesso
All'interno della vostra associazione, ogni persona dovrebbe poter vedere solo i dati dei membri di cui ha realmente bisogno per il proprio lavoro. Se qualcuno è responsabile solo dell'aggiornamento dei dati di contatto, non ha bisogno di sapere chi non ha ancora pagato la quota associativa. E l'allenatore della squadra giovanile dovrebbe naturalmente avere solo informazioni sui propri giocatori. Non deve essere possibile che la compagna del tesoriere apra un file Excel e veda chi è in ritardo con il pagamento delle quote associative.
Se qualcuno lascia un incarico all'interno dell'associazione, dovete disporre di procedure chiare, ad esempio per la cancellazione sicura dei dati dal computer della persona. Inoltre, dovreste documentare con precisione a quali servizi online (come Dropbox, Google Docs o il sito web dell'associazione) la persona aveva accesso e, in particolare, assicurarvi che gli accessi vengano rimossi al momento delle dimissioni.
Suggerimento software
L'utilizzo di un moderno software online come ClubDesk semplifica notevolmente tali processi. Con ClubDesk è impossibile che qualcuno della stessa famiglia possa accedere ai dati dei membri senza password. Potete controllare facilmente chi ha accesso a quali dati nella vostra associazione, in modo che ognuno veda solo le informazioni necessarie per svolgere i propri compiti. Tutti i diritti di accesso, sia per i dati dei membri, i documenti dell'associazione, il sito web o le fatture, sono gestiti centralmente in un'unica soluzione. Se un membro del consiglio direttivo si dimette, è sufficiente modificare i diritti di accesso in un unico punto e l'accesso a tutti i dati riservati verrà immediatamente revocato. In questo modo non è necessario trasferire o cancellare i dati. Il membro del consiglio direttivo rimane responsabile della custodia della propria password.
Informazioni sulla cancellazione dei dati
Dovreste sempre essere ben informati e, su richiesta, essere in grado di comunicare ai vostri membri quali dati personali conservate, dove sono conservati e per quale scopo vengono utilizzati. Il modo migliore per farlo è con una dichiarazione generale sulla protezione dei dati. È importante stabilire linee guida chiare su chi ha accesso a quali dati: ad esempio, il direttore del coro può documentare le presenze alle prove? Inoltre, dovete sapere dove sono archiviati tutti i dati e come procedere se qualcuno richiede la cancellazione dei propri dati, per garantire che questi vengano effettivamente eliminati.
Suggerimento software
Con ClubDesk, la gestione dei contatti è centralizzata, così non dovrete più avere a che fare con diversi fogli Excel, software finanziari, soluzioni web o servizi di archiviazione online in cui i dati dei membri o le informazioni di accesso sono memorizzati in modo frammentato. La cancellazione di tutti i dati personali di una persona è quindi a portata di clic. Poiché esiste un unico database centrale, avete una chiara panoramica dei dati memorizzati, della loro ubicazione e delle persone responsabili della loro sicurezza. Queste informazioni sono riportate nelle misure tecniche e organizzative (TOM). Le TOM fanno parte dell'accordo sul trattamento dei dati che le associazioni stipulano quando utilizzano ClubDesk.
Quando si applica il diritto europeo alle associazioni svizzere?
Esistono numerose differenze tra il RGPD europeo e la revDSG svizzera. Ad esempio, secondo il RGPD, le associazioni di grandi dimensioni devono nominare un responsabile della protezione dei dati e la pubblicazione di foto e video dei membri è gestita in modo diverso.
Se la vostra associazione non si rivolge a persone nell'UE (ad esempio con pubblicità o eventi associativi), si applica solo la legge svizzera sulla protezione dei dati.
Si consiglia di tenere presente quanto segue:
- Non rivolgetevi specificatamente a persone nell'UE nella vostra pubblicità, sul vostro sito web, sui social media, ecc. (ad esempio, non pubblicate contributi dei membri o offerte di corsi in euro invece che in franchi svizzeri).
- Non valutate il comportamento degli utenti dell'UE sul vostro sito web (ad esempio con Google Analytics).
Non appena vi rivolgete attivamente a persone dell'UE (ad es. l'associazione è attiva a livello transnazionale) e trattate i loro dati personali, è necessario rispettare il RGPD.
Se desiderate saperne di più sulla normativa in materia di protezione dei dati per le associazioni soggette al RGPD europeo, potete leggere il nostro consiglio per le associazioni sul RGPD («Protezione dei dati nelle associazioni – Germania e Austria»).
Attuazione delle norme sulla protezione dei dati
La protezione dei dati non significa solo raccogliere consensi. Si tratta di controllare attivamente quali dati vengono raccolti, come e per quanto tempo vengono conservati e come vengono distrutti in modo sicuro. Nella vostra associazione dovreste verificare regolarmente se le informazioni conservate sono ancora necessarie e se sono ancora aggiornate. Un'attenzione costante ai dati memorizzati e una gestione delle informazioni consapevole sono indispensabili per la protezione dei dati.
Protezione dei dati nel contesto dei rapporti contrattuali
Se i membri usufruiscono dei servizi della vostra associazione, ad esempio partecipando a prove o tornei, il trattamento e la conservazione dei dati corrispondenti sono di grande importanza per l'associazione e sono quindi consentiti. Assicuratevi tuttavia di raccogliere solo le informazioni necessarie e di non conservarle più a lungo del necessario. In questo modo proteggete i membri e garantite che la vostra associazione soddisfi i requisiti della LPD.
Trasparenza nella protezione dei dati
Ogni membro dell'associazione ha il diritto di sapere quali dati personali vengono raccolti su di lui o lei e per quale scopo vengono trattati. La trasparenza in materia costituisce il fondamento di una solida protezione dei dati. È compito della vostra associazione illustrare in modo trasparente e comprensibile in che modo vengono trattati i dati personali e per quali scopi vengono elaborati. È inoltre necessario che i membri siano informati in modo esauriente sui loro diritti in materia di protezione dei dati.
Informare i membri con le informazioni sulla protezione dei dati
Normalmente informate i vostri membri sulla protezione dei dati nelle note sulla protezione dei dati della vostra associazione. Se volete garantire che anche i potenziali nuovi membri abbiano un'idea della vostra protezione dei dati prima di aderire, è consigliabile rendere accessibili queste note sul sito web della vostra associazione. Le finalità del trattamento dei dati possono anche essere stabilite nello statuto. Ciò può essere particolarmente utile se i dati vengono trasmessi a terzi, ad esempio a un'organizzazione ombrello.
Suggerimento software
Se progettate il sito web della vostra associazione con ClubDesk, riceverete un'informativa sulla protezione dei dati già pronta, che può essere facilmente adattata alle esigenze specifiche della vostra associazione. Questa proposta contiene anche un link a un generatore di informative sulla protezione dei dati appositamente progettato per le associazioni svizzere.
Informativa sulla privacy per i visitatori del sito web dell'associazione
Non dimenticate che dovete informare i visitatori del sito web della vostra associazione sui cookie utilizzati, sugli strumenti di analisi impiegati e sulle finalità della memorizzazione dei dati.
Suggerimento software
ClubDesk vi offre un supporto pratico fornendo un banner cookie già pronto e un modello di informativa sulla privacy da inserire in un sito web creato con ClubDesk.
Pubblicazione e divulgazione
Nell'era dei social media e dell'onnipresenza di Internet, molte persone sono diventate molto più consapevoli del valore della privacy e dell'anonimato nel mondo digitale. È importante tenerne conto e informare adeguatamente i vostri membri su quali dati, immagini, ecc. potrebbero essere pubblicati e dove.
Dati personali
Se avete intenzione di condividere i dati dei membri sul vostro sito web, sia che siano accessibili al pubblico o solo ai membri dell'associazione, dovete prima informare gli interessati e, a seconda della situazione, ottenere il loro consenso. Ciò vale anche per la trasmissione a terzi, ad esempio a un'organizzazione ombrello. Potete farlo in modo semplice inserendo una clausola nel vostro statuto. Il testo potrebbe essere il seguente:
L'associazione SC Musterverein memorizza solo i dati personali dei propri membri necessari per l'adempimento dello scopo dell'associazione e ne garantisce la sicurezza in modo adeguato. Le seguenti informazioni sui membri vengono comunicate agli altri membri dell'associazione (ad esempio nell'area del sito web dell'associazione accessibile solo ai membri): nome, indirizzo, numero di telefono, e-mail, ... (indicare tutto)
La condivisione delle informazioni di contatto con altri membri è giustificata, tra l'altro, dal fatto che l'associazione dovrebbe dare ai membri la possibilità di convocare un'assemblea straordinaria.
Qui potete scaricare modelli di statuto messi a disposizione da «vitamin B», il centro di competenza per le associazioni svizzere, che contengono ottimi suggerimenti di testo sulla protezione dei dati e trattano il tema della pubblicazione dei dati in conformità con la legge (sezione 13).
Download: Modello di statuto associativo incl. protezione dei dati e consenso alla pubblicazione dei dati
Foto e filmati
Quando si pubblicano foto e filmati, è necessario tenere presente due aspetti. Da un lato, i diritti del fotografo, che dal 2020 valgono anche per i fotografi amatoriali, e dall'altro i diritti delle persone ritratte (diritto all'immagine). Si consiglia quindi di redigere un “Regolamento sul diritto d'autore delle immagini” e di informare i membri esistenti.
Il regolamento dovrebbe stabilire, tra l'altro, che l'associazione può utilizzare le immagini (video, grafici...) fornite dai membri gratuitamente, senza limiti di tempo, in qualsiasi paese e su tutti i media (sito web, Instagram, rivista dell'associazione...). Il regolamento dovrebbe inoltre stabilire che i membri concedono all'associazione un'autorizzazione generale all'uso delle immagini, ovvero che l'associazione può pubblicare le immagini dei membri gratuitamente, senza limiti di tempo, in qualsiasi paese e su tutti i media (sito web, Instagram, rivista dell'associazione...) e che la partecipazione a un evento vale come consenso.
Dovrebbe anche essere stabilito come e quando è consentito fotografare le persone (ad es. foto di eventi sportivi). A seconda della situazione, è necessario ottenere preventivamente il consenso o dare al membro dell'associazione la possibilità di opporsi alla realizzazione di foto.
Per la creazione di un «regolamento sul diritto d'autore delle immagini» per le associazioni, «vitamin B», il centro di competenza per le associazioni, offre una guida scaricabile.
Trattamento accurato dei dati sensibili
I dati particolarmente sensibili, come ad esempio le informazioni relative alla salute, richiedono un trattamento speciale. Nella maggior parte dei casi, questi dati possono essere raccolti solo con il consenso esplicito della persona interessata. In questi casi, la vostra associazione è tenuta a procedere con particolare attenzione e ad assicurarsi che il consenso dei membri sia volontario e informato. A tal fine è consigliabile consultare un esperto in materia di protezione dei dati.
Tra i dati particolarmente sensibili figurano:
- dati relativi alla salute (ad es. allergie, intolleranze, lesioni)
- dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche di una persona
- appartenenza sindacale
- dati genetici, dati biometrici trattati esclusivamente per identificare in modo univoco una persona fisica
- dati relativi alla vita sessuale o all'orientamento sessuale di una persona
Gestione responsabile degli elenchi dei membri
Un esempio di trattamento dei dati personali all'interno di un'associazione sono gli elenchi dei membri. È importante stabilire con precisione chi all'interno della vostra associazione ha accesso a questi elenchi e per quali scopi possono essere utilizzati. La trasmissione di questi elenchi deve essere rigorosamente controllata per evitare violazioni della protezione dei dati.
Suggerimento software
Un software per associazioni come ClubDesk vi consente di determinare facilmente chi ha accesso a determinati dati dei membri. Tuttavia, è importante informare i collaboratori della vostra associazione che, sebbene i dati siano al sicuro all'interno di ClubDesk, non appena vengono scaricati su un PC privato o inviati via e-mail (cioè senza adeguate misure di sicurezza come l'anonimizzazione, la crittografia o la protezione con password), la loro sicurezza non è più garantita.
La protezione dei dati nelle associazioni va ben oltre il semplice rispetto dei requisiti legali. Si tratta di una gestione responsabile delle informazioni che rafforza la fiducia dei membri. Un'associazione dovrebbe disporre di una politica sulla protezione dei dati che venga attivamente implementata. Ciò include una formazione regolare in materia di protezione dei dati per i responsabili.
L'importanza di una formazione regolare sulla protezione dei dati
La formazione sulla protezione dei dati è essenziale per acquisire una solida comprensione del trattamento dei dati personali nella vostra associazione. Data la complessità dell'argomento, è necessario fornire informazioni continue sui diritti e gli obblighi connessi. Attraverso workshop interni o la messa a disposizione di materiale informativo potete sensibilizzare la vostra associazione alla protezione dei dati ed evitare possibili violazioni.
Organizzate di tanto in tanto un incontro o una riunione online con le persone che hanno accesso ai dati personali all'interno dell'associazione e discutete ogni volta un argomento diverso trattato in questa guida. Ad esempio, in una riunione potete esaminare le «misure tecniche più importanti» elencate di seguito e nella riunione successiva le «misure organizzative più importanti». Mettete per iscritto i risultati delle vostre discussioni, anche per poter comunicare in modo efficiente le misure adottate ai nuovi collaboratori dell'associazione.
Un documento dettagliato e ben strutturato, che costituisce un'ottima base per la formazione, è disponibile su «vitamin B»: scarica il PDF
Misure tecniche e organizzative per la protezione dei dati
È indispensabile che la vostra associazione adotti misure non solo organizzative, ma anche tecniche (TOM). Ciò è prescritto dall'articolo 7 del revDSG. Ciò include, ad esempio, la crittografia dei dati, l'uso di password sicure e la protezione contro l'accesso non autorizzato. L'attrezzatura tecnica dell'associazione deve soddisfare i requisiti di protezione dei dati e deve essere aggiornata regolarmente.
Suggerimento software
Con un moderno software per associazioni come ClubDesk potete esternalizzare una serie di misure, che vengono gestite da ClubDesk, ma non tutte. È importante che vi occupiate di aspetti quali la sicurezza delle password e le linee guida per la pubblicazione dei dati.
Le misure tecniche più importanti
Firewalls & WLAN
Per proteggere i vostri dati è fondamentale che tutti i computer, compresi quelli privati su cui i collaboratori dell'associazione memorizzano i dati dell'associazione, utilizzino firewall moderni e gestiti in modo professionale. Inoltre, dovete configurare la vostra WLAN in modo sicuro, ad esempio utilizzando lo standard WPA2 e password complesse.
Controllo degli accessi
È necessario controllare non solo l'accesso alla rete, ma anche l'accesso fisico ai computer e ai dischi rigidi di backup, ecc. su cui sono memorizzati i dati personali. L'ideale è conservarli in locali sicuri a cui hanno accesso solo le persone autorizzate.
Diritti di accesso
Assegnando password, definendo i ruoli di accesso e assegnando i gruppi di utenti, potete determinare esattamente chi può accedere a quali dati. Assicuratevi che solo le persone autorizzate abbiano accesso (cioè nessun familiare del presidente o del tesoriere) e che le password utilizzate siano sicure (ad esempio, lunghe almeno 10 caratteri, contenenti lettere, numeri e caratteri speciali).
Crittografia
Per proteggere i vostri dati da accessi non autorizzati, questi devono essere memorizzati e trasmessi in forma crittografata. Assicuratevi che tutti i collaboratori utilizzino metodi di crittografia sicuri e password complesse.
Copie di sicurezza
I backup regolari sono indispensabili per poter ripristinare i vostri dati anche dopo un guasto del sistema o un attacco informatico. Non dimenticate di salvare e crittografare anche i backup e di aggiornarli di conseguenza quando i dati vengono cancellati.
Suggerimento software
Fortunatamente, con un software per club online come ClubDesk potete risparmiare un sacco di lavoro e misure. I dati del club vengono infatti salvati esclusivamente nel centro di calcolo di ClubDesk e sono quindi protetti secondo tutte le regole dell'arte. Inoltre, vengono eseguiti backup giornalieri e non è possibile accedere ai dati dei membri senza password. Non è necessario inviare dati o trasmetterli ad altre persone. Non è quindi necessario stabilire regole su come i dati devono essere cancellati in modo sicuro dal vecchio computer o crittografati prima dell'invio.
Le misure organizzative più importanti
Procedure e linee guida
Assicuratevi che la vostra associazione stabilisca regole chiare per il trattamento dei dati, che queste siano ben documentate e che chiunque abbia a che fare con i dati sappia esattamente cosa è consentito e cosa no. Ciò significa anche essere consapevoli dell'importanza di trattare i dati in modo sicuro. Pensate a regole chiare per le password (come la lunghezza e i caratteri speciali) e a come gestire la pubblicazione di informazioni e foto.
Informazioni e formazione
Assicuratevi che tutti coloro che lavorano con i dati della vostra associazione siano adeguatamente informati in materia di protezione dei dati. Ricordate regolarmente ai membri del vostro team l'importanza di rispettare le misure di sicurezza, di utilizzare password complesse e di mantenere i dati crittografati. Il phishing e lo spoofing sono rilevanti anche quando i dati personali sono memorizzati localmente.
Accordi di elaborazione dei dati
Se utilizzate servizi esterni per memorizzare o trasmettere dati personali, dovete assicurarvi che tali servizi offrano la protezione necessaria ai vostri dati. Questo avviene automaticamente con ClubDesk, ad esempio, grazie all'accordo sul trattamento dei dati che fa parte delle condizioni generali di contratto. Se utilizzate altri strumenti come il cloud storage o fornitori di siti web, verificate che anche questi offrano gli accordi necessari.
Analisi dei rischi
Verificate regolarmente le vostre misure e i vostri processi. Assicuratevi che siano sempre aggiornati e che corrispondano alle minacce attuali e alle possibilità tecniche. In questo modo la vostra associazione sarà al sicuro e voi sarete sempre un passo avanti.
Suggerimento software
L'utilizzo di un software per associazioni come ClubDesk semplifica notevolmente la definizione e la documentazione delle misure organizzative. Se un membro del consiglio direttivo lascia l'associazione, è sufficiente modificare i suoi diritti di accesso in un punto centrale in ClubDesk. Se invece lavorate con diversi strumenti software e dati memorizzati localmente, è importante documentare con precisione chi ha accesso a quali servizi e dati. In questo modo, in caso di dimissioni, potrete sapere dove disattivare i diritti di accesso e chi è responsabile, eventualmente con istruzioni dettagliate per la disattivazione. Inoltre, potete garantire che le persone dimissionarie trasferiscano i dati riservati in modo sicuro ai loro successori, ad esempio applicando regole di crittografia per l'invio di e-mail, e che tutti i dati personali vengano completamente cancellati dai loro computer privati. Con ClubDesk potete evitare tutto questo.
Gestione delle violazioni della protezione dei dati
Anche con la massima cura è possibile che si verifichino violazioni della protezione dei dati. In tal caso, la vostra associazione dovrebbe disporre di un piano d'azione per le violazioni dei dati. Questo piano definisce le misure da adottare in caso di violazione della protezione dei dati, compresa la notifica ai responsabili e l'informazione dei membri interessati. In tali situazioni è fondamentale agire in modo rapido e sicuro per mantenere la fiducia dei membri e limitare i potenziali danni.
Registrazione e obbligo di rendicontazione
Ai sensi della LPD, la vostra associazione in Svizzera deve essere in grado di dimostrare di aver adottato le misure necessarie per garantire la protezione dei dati e il rispetto delle relative direttive. Ciò richiede una documentazione delle operazioni di trattamento dei dati, delle loro basi giuridiche e delle misure di sicurezza implementate. La registrazione non serve solo a fini di rendicontazione nei confronti delle autorità di controllo, ma anche come misura di controllo interno.
Un elenco dei punti più importanti da documentare è disponibile nella legge federale sulla protezione dei dati, capitolo 2, sezione 1, articolo 12.
Guida revDSG per la vostra associazione da scaricare
Persona responsabile
Stabilisce chi, all'interno della vostra associazione, si occupa della protezione dei dati e chi è responsabile delle misure tecniche e organizzative adeguate.
Salvare solo i dati necessari
Garantisce che vengano raccolti solo i dati necessari e che la durata della conservazione sia commisurata alle esigenze e ai requisiti di legge.
Garanzia della sicurezza dei dati
Implementa e aggiorna regolarmente misure di protezione per garantire la riservatezza, l'integrità e la disponibilità dei dati.
Documentare i processi per la protezione e la sicurezza dei dati
Crea un registro che fornisce informazioni sulle responsabilità, i diritti di accesso e le finalità del trattamento dei dati, come previsto dall'articolo 12 del GDPR.
Definire i diritti di accesso
Assicurati che tutti vedano solo i dati necessari per il loro lavoro.
Informare i membri sul trattamento dei dati
Informate per iscritto i nuovi membri al momento dell'adesione in merito al trattamento dei dati (quali dati, a quale scopo, dove vengono conservati e pubblicati) e tenete aggiornati i membri esistenti in merito alle modifiche. Pubblicate le informazioni sulla protezione dei dati sul vostro sito web e prendete in considerazione una modifica dello statuto.
Formazione del consiglio direttivo e dei collaboratori dell'associazione
Assicurarsi che tutte le persone che lavorano con i dati dei membri dell'associazione siano informate sul revDSG e lo rispettino.
Contratto di elaborazione dei dati (DPA)
Stipula contratti di elaborazione degli ordini con fornitori di servizi esterni o integra accordi sulla protezione dei dati nei contratti di fornitura di servizi e verifica regolarmente le misure di protezione dei dati da essi adottate.
Obbligo di segnalazione in caso di violazioni della protezione dei dati
Istituisce una procedura per reagire rapidamente e notificare le violazioni della protezione dei dati sia ai membri che alle autorità di controllo.
Diritto svizzero o diritto dell'Unione europea
Verificate se dovete attenervi solo alla revDSG svizzera o anche al RGPD europeo (vedi capitolo «Quando si applica il diritto europeo alle associazioni svizzere?»).
Sintesi: protezione dei dati nelle associazioni
La protezione dei dati rappresenta per le associazioni in Svizzera un processo dinamico che richiede un'organizzazione ben ponderata e una ottimizzazione continua. È fondamentale trovare un equilibrio tra un'amministrazione efficiente dell'associazione e la tutela della privacy e dei dati dei soci. Un approccio lungimirante e la partecipazione attiva dei soci sono determinanti per il successo. Soluzioni software come ClubDesk possono semplificare enormemente il rispetto delle leggi sulla protezione dei dati durante il trattamento dei dati dei soci.
FAQ: Domande frequenti sul tema protezione dei dati nell'associazione
Che cos'è la LPD e in che misura è rilevante per le associazioni svizzere?
Il LPD è la legge svizzera sulla protezione dei dati che, analogamente al RGPD europeo, disciplina la protezione e il trattamento dei dati personali. È rilevante per le associazioni in Svizzera, poiché queste sono tenute a rispettare le disposizioni in materia di protezione dei dati dei membri e di altre persone e ad attuare le misure di protezione dei dati corrispondenti.
Cosa si intende con il termine «dati personali»?
Per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile, quali nome, indirizzo, indirizzo e-mail, numero di telefono e foto.
È obbligatoria la nomina di un responsabile della protezione dei dati per le associazioni?
Non è obbligatorio nominare un responsabile della protezione dei dati. Tuttavia, si consiglia di designare una persona a cui i membri possano rivolgersi, ad esempio, per domande sui propri dati o per richieste di cancellazione. Ciò aumenta la fiducia nella vostra associazione.
Come si ottiene il consenso al trattamento dei dati dei membri dell'associazione?
Il consenso è necessario solo in determinati casi. Se il consenso è necessario, deve essere fornito volontariamente e il membro deve essere informato in anticipo in modo adeguato sul trattamento dei dati. Ciò può avvenire, ad esempio, tramite un modulo di registrazione che rimanda a un'informativa sulla privacy e con il quale il consenso viene fornito tramite firma o in formato digitale attivando una casella di controllo.
Quali misure devono adottare le associazioni per garantire la sicurezza dei dati?
Le associazioni sono tenute ad adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati trattati. Tra queste figurano, tra l'altro, la conservazione sicura dei dati, l'aggiornamento regolare dei software e l'organizzazione di corsi di formazione per i membri del comitato direttivo e i collaboratori dell'associazione.
Quali sono i diritti dei membri in relazione ai propri dati?
I membri hanno il diritto di ottenere informazioni sui propri dati personali memorizzati, di richiederne la correzione, di richiederne la cancellazione e, in determinate circostanze, di opporsi al trattamento dei dati.
L'autore:
Andreas Kling
Che fosse segretario o presidente, Andreas ha ricoperto praticamente ogni ruolo in diverse associazioni e negli ultimi 35 anni si è occupato principalmente della gestione e della digitalizzazione di aziende e associazioni.
