Protezione dei dati
Domanda
La nostra associazione ora è su Facebook. Per rendere più interessante la pagina, desideriamo mettere in rete alcune fotografie delle nostre attività. A volte le persone ritratte sono ben riconoscibili. Dobbiamo prima chiedere il loro consenso? Le fotografie della nostra pagina Facebook possono essere visionate solo da chi ci ha dato l'amicizia.
La risposta
Le fotografie rientrano nei dati personali soggetti a protezione e per principio possono essere utilizzate solo con il consenso delle persone ritratte. Anche se Facebook permette di limitare l'accesso alla propria pagina, si tratta comunque di un mezzo di comunicazione aperto, la cui attrattiva è proprio la sua grande visibilità: un gran numero di persone vede quello che pubblichiamo. È inoltre nell'interesse dell'associazione avere il maggior numero possibile di «amici».
Consiglio pertanto di non pubblicare fotografie senza il consenso delle persone ritratte. La richiesta ai soci è inoltre l'occasione di entrare in contatto con loro.
In generale bisogna usare fotografie in cui le persone sono solo parzialmente riconoscibili oppure mischiate tra la folla. Le foto non possono inoltre recare il nome delle persone ritratte e raffigurare immagini lesive della dignità della persona, né permettere di trarre conclusioni su opinioni politiche o religiose, mostrare consumo di droga o attività criminali, documentare la riscossione degli aiuti sociali ecc.
E naturalmente, su richiesta delle persone ritratte, le fotografie devono essere immediatamente cancellate.
Domanda
La nuova legge sulla protezione dei dati è ora in vigore. Quali aspetti devono considerare le associazioni?
La risposta
La nuova legge sulla protezione dei dati non contiene disposizioni specifiche per le associazioni. Tuttavia, le associazioni devono rispettare i numerosi nuovi obblighi e requisiti della legge. La novità più importante è l'estensione dell'obbligo di fornire informazioni. Le associazioni devono informare i soci interessati in merito al tipo di dati personali che raccolgono e specificare lo scopo del loro trattamento. In pratica, l'obbligo di fornire informazioni viene solitamente assolto con una dichiarazione sulla protezione dei dati pubblicata sul sito web dell'associazione.
Domanda
È necessario modificare lo statuto per via della nuova legge sulla protezione dei dati?
La risposta
Consigliamo alle associazioni di prevedere un articolo sulla protezione dei dati in occasione della prossima revisione dello statuto. Questo articolo disciplina la gestione dei dati da parte dell'associazione, ovvero come e in quali casi è ad es. consentito trasmettere i dati dei soci ad altri soci. A titolo di supporto, il modello di statuto di vitamina B ora comprende l'art. 13 sulla protezione dei dati con formulazioni e commenti esemplificativi: vitaminab.ch/nozioni/strumenti
Domanda
Cosa bisogna sapere sull'obbligo di conservazione dei dati dei soci? Occorre ad es. anonimizzare le fatture per le quote sociali versate annualmente?
La risposta
I dati devono essere cancellati quando non sono più necessari per il trattamento e se non sussiste un obbligo legale di conservazione. Finché ci sono crediti ancora scoperti o eventualmente una controversia legale, i dati non devono essere cancellati. Inoltre, ad es. nell'ambito della contabilità sussiste un obbligo di conservazione di 10 anni per le relazioni annuali, i conti annuali, i documenti contabili e i rapporti di revisione (cfr. art. 958f CO). Se tali documenti contengono dati personali, possono essere cancellati solo dopo la scadenza del termine. Da poco tempo, le associazioni soggette all'obbligo di iscrizione nel registro di commercio devono tenere un elenco dei soci. Sono obbligate a conservare i dati di ciascun socio per cinque anni dopo la sua uscita dall'associazione (cfr. art. 61a CC).
Domanda
Come molte associazioni, comunichiamo tramite e-mail, strumenti di chat, newsletter elettroniche e sistemi di archiviazione digitale. In che modo la Direzione può verificare quali strumenti digitali sono ammessi ai sensi della legge sulla protezione dei dati?
La risposta
La Direzione deve verificare l'affidabilità dei fornitori di servizi e accertarsi che garantiscano la sicurezza dei dati (nel caso in cui i fornitori trattino i dati personali dell'associazione nell'ambito di un contratto, ad es. con una soluzione cloud). La Direzione deve chiedere informazioni al fornitore. Quest'ultimo eventualmente dispone anche di determinati marchi di qualità o certificazioni nel campo della protezione dei dati. Un'associazione deve vincolare contrattualmente il fornitore, ossia ottenere garanzie che i dati vengano gestiti in modo serio, sicuro e confidenziale.
Domanda
In una votazione per iscritto è consentito esigere che i soci rispondano con nome, cognome e firma?
La risposta
Bisogna garantire che partecipino alle elezioni solo le persone aventi diritto. È pertanto giusto che le persone che votano possano essere identificate. Lo scrutinio può essere affidato a una persona indipendente che registrerà i voti espressi senza assegnarli alle persone che hanno votato. Se volete garantire l'anonimato totale, ad es. nelle elezioni, dovreste allestire delle schede di voto separate, da ritornare insieme al voto o alla scheda elettorale (come per le elezioni politiche). Si tratta di una procedura che consiglierei solo nel caso in cui un'elezione fosse molto controversa.
Domanda
Chi è responsabile della protezione dei dati all’interno dell’associazione?
La risposta
Un’associazione dispone di molti dati personali, soprattutto riguardanti i soci. Questi dati devono essere gestiti con cautela. La Direzione dell’associazione è responsabile del loro trattamento conforme alla legge sulla protezione dei dati. Deve in particolare garantire che l'associazione disponga di una dichiarazione sulla protezione dei dati e che tuteli sistematicamente i dati dei soci da un uso improprio.
Domanda
Presso le associazioni si osserva un aumento delle richieste di informazioni sul trattamento dei dati personali. A cosa occorre prestare attenzione?
La risposta
Anche l'obbligo di fornire informazioni è stato rivisto. Le associazioni devono essere pronte a rispondere a questa richiesta di informazione e definire la procedura. In primo luogo, è necessario accertare l'identità della persona che richiede l'informazione (ad esempio, tramite un documento d'identità). Dopodiché bisogna comunicarle quali dati che la riguardano vengono trattati, per quali scopi, da dove provengono e per quanto tempo sono conservati. Occorre eventualmente indicare chi sono i destinatari dei dati (ad es. l'associazione mantello, la tipografia ecc.). Le informazioni devono di norma essere fornite gratuitamente per iscritto entro 30 giorni.
Domanda
Un socio desidera convocare un'assemblea dei soci straordinaria e ci ha chiesto di fornirgli i dati di contatto di tutti i soci. Ci è consentito farlo?
La risposta
Se un quinto dei soci (o in conformità dello statuto anche meno) richiede un'assemblea dei soci straordinaria, la Direzione è tenuta a convocarla. In pratica, ciò significa che in questo caso è consentito trasmettere i dati dei soci all'interno dell'associazione, poiché sono necessari per l'esercizio dei diritti dei soci, ovvero per la convocazione di un'assemblea dei soci straordinaria (art. 64 cpv. 3 CC). Nella fattispecie la divulgazione dei dati dovrebbe tuttavia limitarsi ai dati necessari per l’esercizio del diritto (ad es. nomi e indirizzi). Il socio in questione deve essere informato che può utilizzare i suddetti dati solo per questo scopo, dopodiché li deve distruggere. In alternativa alla divulgazione, la Direzione può proporre di inviare lei stessa le informazioni agli altri soci, per conto del socio che ha richiesto i dati.
