LINEE GUIDA / PRIVACY POLICY
DELL’ASSOCIAZIONE “GLI ORTI DI SAN GIUSEPPE ODV”
1) Contitolarità
In ragione dell’autonomia dell’Associazione “GLI ORTI DI SAN GIUSEPPE ODV”, sia sotto il profilo statutario
e organizzativo, sia in relazione alle scelte da compiersi in materia di tutela dei dati personali, essa va
considerata Titolare autonomo del trattamento e non sussistono rapporti di contitolarità con altri soggetti.
2) Trattamenti di dati e categorie di dati
L’Associazione “GLI ORTI DI SAN GIUSEPPE ODV” svolge i seguenti trattamenti di dati personali (T):
T1. trattamento dei dati comuni e “particolari” degli Aspiranti Soci e dei Soci Volontari, per
l’adesione all’Associazione, la gestione del rapporto associativo, per l’organizzazione del servizio e l’invio
di comunicazioni/newsletter
T2. acquisizione delle immagini foto/video dei Soci Volontari e pubblicazione nel giornalino o in altro
materiale cartaceo, nel sito istituzionale o nei social network (es. pagina Facebook) dell’-Associazione,
per finalità informative e di promozione dell’attività dell’Associazione
T3. trattamento dei dati comuni e “particolari” dei Beneficiari dell’attività istituzionale;
T4. acquisizione delle immagini foto/video dei Beneficiari e pubblicazione nel giornalino o in altro
materiale cartaceo, nel sito istituzionale o nei social network (es. pagina Facebook) dell’Associazione, per
finalità informative e di promozione dell’attività dell’Associazione
T5. trattamento dei dati comuni e delle immagini e video dei partecipanti (non Soci) ad eventuali
eventi, manifestazioni, seminari o conferenze organizzate dall’Associazione
T6. trattamento dei dati comuni (anagrafici e di contatto) dei consulenti, dei collaboratori e dei
fornitori esterni, per la corrispondenza, contabilità, la gestione del rapporto e l’organizzazione del
servizio
T7. trattamento dei dati (anagrafici, di contatto e sanitari) di eventuali dipendenti dell’Associazione,
per la gestione del rapporto di lavoro e l’organizzazione del servizio
T8. Trattamento dei dati degli utenti del sito istituzionale
T9. Trattamento dei dati degli iscritti alla newsletter
T10. trattamento dei dati comuni di eventuali Tirocinanti universitari e degli studenti in “Alternanza
Scuola Lavoro”, per la gestione del tirocinio, l’organizzazione del servizio e l’invio di comunicazioni/
newsletter
T11. trattamento dei dati comuni e “particolari” dei ragazzi in servizio civile, per la gestione del
rapporto, l’organizzazione del servizio e l’invio di comunicazioni/newsletter
T12. trattamento dei dati comuni, “particolari” e giudiziari dei Lavoratori di Pubblica Utilità (LPU), degli
Affidati in prova al servizio sociale (AP) e dei lavoratori “Messi alla prova” (MAP), ai fini di giustizia
riparativa, in esecuzione di convenzioni con l’Autorità Giudiziaria, per la gestione del rapporto e
l’organizzazione del servizio.
T13. trattamento dei dati dei donatori, per la corrispondenza, la promozione dell’Associazione, la
rendicontazione e l’eventuale invio di comunicazioni/newsletter.
I sopra descritti trattamenti possono riguardare anche dati cd. “particolari”, ovvero quei dati personali
“che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o
l’appartenenza sindacale” o “dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della
persona”. Tali dati vanno trattati solo se vi sono le condizioni descritte dall’art. 9 del GDPR e nel
provvedimento/autorizzazione generale del Garante per la Protezione dei Dati Personali del 5.6.2019 e
ss.mm.
3) Principi del trattamento
All’interno dell’Associazione la raccolta e il trattamento dei dati deve avvenire esclusivamente per il
raggiungimento delle finalità statutarie e istituzionali e non oltre il tempo necessario per raggiungere tali
finalità; i dati non devono essere utilizzati contro la volontà o nell’ignoranza della persona cui si riferiscono;
va garantita un’adeguata sicurezza e protezione dei dati personali, mediante misure tecniche e organizzative,
per evitare trattamenti non autorizzati o illeciti e per evitare la perdita e la distruzione accidentale dei dati.
In particolare, secondo il GDPR l’Associazione è tenuta:
• a trattare i dati in modo lecito e secondo correttezza e trasparenza;
• a raccogliere i dati solo per finalità determinate, esplicite e legittime, ed utilizzare i dati solo in
termini compatibili con tali scopi (“limitazione delle finalità”);
• ad assicurarsi che i dati raccolti siano adeguati, pertinenti e non eccedenti rispetto a quanto
necessario per il perseguimento delle finalità per cui sono raccolti (“minimizzazione dei dati”); che
siano esatti e, se necessario, costantemente aggiornati (“esattezza dei dati”); che siano conservati
per un periodo di tempo non superiore a quello necessario per il raggiungimento delle finalità per cui
sono stati raccolti, a meno che la conservazione non avvenga per fini di archiviazione nel pubblico
interesse, di ricerca scientifica o storica o a fini statistici (“limitazione della conservazione”);
• a garantire un’adeguata sicurezza e protezione dei dati personali, mediante misure tecniche e
organizzative adeguate, per evitare trattamenti non autorizzati o illeciti e per evitare la per- dita e la
distruzione accidentale dei dati (“integrità e riservatezza”)
4) Domanda di adesione all’Associazione, informative e consenso al trattamento
A tutti coloro che intendono far parte dell’Associazione quali Soci Volontari è sottoposto il MOD.
1_Domanda di ammissione a socio con informativa e consenso e MOD. 2_Domanda di
ammissione a socio minorenne con informativa e consenso.
L’incaricato dell’Associazione provvede:
• a far compilare al richiedente la scheda (pag. 1) con i dati personali;
• a segnalare al richiedente l’informativa posta nel retro (pag. 2)
• a proporre al richiedente di sottoscrivere per il consenso al trattamento dei dati.
Si precisa che l’Associazione necessita del consenso del Socio per i seguenti trattamenti:
• invio di comunicazioni/newsletter
• condivisione con gli altri Aderenti dei dati personali del singolo Aderente ai fini
dell’organizzazione del servizio
• acquisizione e pubblicazione di immagini e video dei Soci/Volontari su materiale
cartaceo, nel sito istituzionale o nei social network (pagina Facebook) dell’Associazione.
5) Riprese video e/o foto e loro pubblicazione
I soci esprimono il consenso al momento della presentazione della MOD. 1_Domanda di ammissione a
socio con informativa e consenso
In eventi pubblici (es. convegno, spettacolo o manifestazione, mostra ecc.) o in luogo pubblico (scenari
naturali o architettonici) le foto o i video devono riprendere l’evento o il paesaggio, e solo incidentalmente le
persone (non Soci), che devono rimanere sullo sfondo o di spalle e comunque non devono essere riprese
singolarmente o in gruppo ristretto in primo piano.
In eventi dell’Associazione “privati” (es. assemblee, seminari, gite, festeggiamenti, ecc.) la raccolta da parte
dell’Associazione e la pubblicazione di foto e di video dei partecipanti (non Soci) sono ammesse solo se i
partecipanti hanno letto l’informativa ed espresso il loro specifico consenso attraverso la firma del MOD.
19_Liberatoria immagini o del MOD. 5_Informativa partecipazione evento con foglio presenze e
consenso
La pubblicazione di foto o video di minori può essere fatta solo se vi è il consenso dei titolari della potestà
genitoriale o dei rappresentanti legali (tutore, amministratore di sostegno). Per i minori va utilizzato il
modello. Considerata la frequente impossibilità o difficoltà di acquisizione del consenso dell’altro
genitore, l’acquisizione e pubblicazione di foto/video di minori beneficiari va tendenzialmente
evitata.
Prima della pubblicazione della foto/video nel sito istituzionale o nella pagina Facebook dell’Associazione
l’incaricato Marco Lampo dovrà verificare l’esistenza del consenso.
6) Altre informative e consensi al trattamento
In relazione alle persone diverse dai Soci di cui l’Associazione raccoglie e utilizza dati e in relazione ai
trattamenti descritti al par. 2, il Presidente o Suo incaricato/delegato trasmettono o mostrano le seguenti
informative e propongono se del caso la firma per il consenso al trattamento, utilizzando i modelli che
seguono :
• beneficiari dell’attività istituzionale (T.3 e T4): MOD. 3_Informativa e consenso
beneficiari e MOD. 4_Informativa e consenso beneficiari minorenni da sottoporre al
momento della richiesta di servizio o accesso al servizio (va inserita la richiesta di consenso in
ragione del fatto che il trattamento facilmente riguarda dati “particolari”, che possono essere anche
comunicati a terzi). In relazione a possibili acquisizioni di foto/video e loro pubblicazione, si ritiene
idoneo acquisire un’autorizzazione generale preventiva, per cui si utilizzerà l’apposita MOD.
19_Liberatoria per foto/video da far sottoscrivere ai presenti nel giorno in cui le foto e i video
vengono acquisiti.
• partecipanti ad eventi (T5): MOD. 5_Informativa partecipazione evento con foglio
presenze e consenso
• consulenti, collaboratori e fornitori esterni (T6): MOD. 6_Informativa per consulenti
collaboratori e fornitori (va inserita una richiesta di consenso solo in caso di trattamenti ulteriori
rispetto alla gestione del rapporto, es. invio di comunicazioni o uso di immagini/video)
• dipendenti (T7): MOD. 7_Informativa per dipendenti, tirocinanti e servizio civile (va
inserita una richiesta di consenso solo in caso di trattamenti ulteriori rispetto alla gestione del
rapporto, es. invio di comunicazioni o uso di immagini/video)
• utenti del sito istituzionale (T8): MOD. 8_INFORMATIVA UTENTI SITO INTERNET inserita
nel piè di pagina della home page con il link “privacy policy”
• iscritti alla newsletter (T9): MOD. 9_INFORMATIVA ISCRITTI ALLA NEWSLETTER,
visionabile con link a fianco del form per l’iscrizione alla newsletter posto nel sito
istituzionale
• tirocinanti e studenti (T10): MOD. 7_Informativa e consenso per dipendenti, tirocinanti
e servizio civile da sottoporre al momento dell’ingresso (va inserita la richiesta di consenso solo in
caso di trattamenti ulteriori rispetto alla gestione del rapporto, es. invio di comunicazioni o uso di
immagini/video)
• ragazzi in servizio civile (T11): MOD. 7_Informativa e consenso per dipendenti,
tirocinanti e servizio civile, da sottoporre al momento dell’ingresso del ragazzo/a (va inserita una
richiesta di consenso solo in caso di trattamenti ulteriori rispetto alla gestione del rapporto: es. invio
di comunicazioni o uso di immagini/video)
• LPU, AP e MAP (T12): Informativa per giustizia riparativa da sottoporre al momento
dell’ingresso in servizio (va inserita la richiesta di consenso solo in caso di trattamenti ulteriori
rispetto alla gestione del rapporto, es. invio di comunicazioni o uso di immagini/video)
• Donatori (T13): Informativa e consenso per donatori e finanziatori (va inserita una richiesta
di consenso solo in caso di trattamenti ulteriori rispetto alla gestione del rapporto, es. invio di
comunicazioni)
7) Archivi e banche dati: allocazione e conservazione dei dati
L’Associazione conserva i dati personali degli interessati in archivi cartacei posti in armadi chiusi con chiave
presso l’abitazione dei responsabil. In particolare, in detti archivi è riposto il libro Soci, la cartellina
personale di ogni Socio/Tirocinante/Lavoratore, le cartelline personali di ciascun
beneficiario/ospite, accessibili solo alle persone Autorizzate indicate nel MOD. 13_Organigramma
privacy.
I dati vengono altresì inseriti nella banca dati informatica fisicamente presente presso l’abitazione dei
responsabili. In particolare sono presenti un elenco/Albo soci informatico, cartelle personali
per ciascun beneficiario (dove vengono inseriti documenti, informazioni, dati anagrafici, ecc.),
accessibili al personale Autorizzato dall’Associazione indicate nel MOD. 13_Organigramma privacy,
secondo apposito sistema di autenticazione (utente e password) e autorizzazione (accesso/
condivisione selettiva delle cartelle in base all’Utente).
8) Cancellazione dei dati
Una volta cessato il rapporto associativo, i dati del Socio sono conservati per 2 anni nei sistemi informatici
dell’Associazione mentre invece in armadio chiuso a chiave Libro SOCI e Libro Operatori Volontari presso
l’abitazione del Tesoriere e saranno tenuti fino alla cessazione dell’Associazione. Gli indirizzi mail dopo la
cessazione vengono conservati e utilizzati solo per l’invio di comunicazioni sulle attività dell’Associazione, se
l’ex Socio ha dato il consenso.
I dati dei beneficiari dell’attività istituzionale sono conservati solo fino al tempo necessario a rendere il
servizio.
I dati degli eventuali dipendenti saranno conservati nel rispetto della disciplina in materia di lavoro.
9) Diritti degli interessati
Il signor Adriano Merlini è la persona che assicura agli Interessati l’esercizio dei diritti di cui all’art. 11 e 12
GDPR, rispondendo alle richieste telefoniche o via mail ricevute.
10) Autorizzati al trattamento
All’interno dell’Associazione possono trattare dati personali le persone/categorie indicate nel MOD.
13_Organigramma Privacy allegato alle presenti Linee Guida. SI ritiene che la consegna agli Autorizzati
delle presenti Linee Guida e dell’ORGANIGRAMMA PRIVACY soddisfi l’obbligo del Titolare di fornire agli
Autorizzati specifiche indicazioni sui trattamenti da svolgere e sui limiti di tali trattamenti. In ogni caso, il
Presidente o suo incaricato valuterà la formalizzazione di apposito MOD. 12_Atto di nomina a
incaricato/autorizzato al trattamento personalizzato o per categoria (es. Volontari, Tirocinanti, ecc.).
11) Responsabili esterni del trattamento
Sono Responsabili esterni del trattamento dei dati i soggetti (persone fisiche e giuridiche) indicate nel MOD.
13_Organigramma privacy allegato alle presenti Linee Guida.
Ove il trattamento dei dati sia svolto da soggetti esterni che siano Titolari autonomi, si deve svolgere nel
rispetto del provvedimento/autorizzazione generale del Garante per la Protezione dei Dati Personali del
5.6.2019 e ss. mm.; il Presidente precisa in apposite istruzioni (MOD. 11_Istruzioni a terzo titolare
autonomo) le modalità e i limiti di tale trattamento.
Quando si svolge una comunicazione o scambio di dati con la Pubblica Autorità o con un Ente Pubblico, essa
è legittima solo se risponde a specifiche finalità di interesse pubblico; in ogni caso, a maggior ragione se
trattasi di dati “particolari” o giudiziari, gli incaricati/Autorizzati dell’Associazione si curano che la
comunicazione all’esterno di informazioni/documenti dei beneficiari sia tracciato e risponda ad una richiesta
specifica e scritta dall’Ente Pubblico.
12) Misure di sicurezza informatiche
Al fine di garantire il rispetto del GDPR e la riservatezza e l’integrità dei dati e ridurre al minimo i rischi di
perdita o distruzione dei dati o di accesso o uso non autorizzato dei dati, e al fine di poter ripristinare
tempestivamente la disponibilità e l’accesso dei dati personali in caso di “incidente”, l’Associazione ha
adottato la misura di conservare una copia cartacea di tutti i dati come definito al precedente punto 7 e una
copia digitale presso l’abitazione dei seguenti responsabili Adriano Merlini, Alessandro Merseburger e Marco
Lampo i quali la conserveranno nel proprio computer .
Ogni Autorizzato (Volontario, tirocinante, dipendente, ecc.) che utilizza computer è tenuto a:
• non lasciare incustodito e accessibile il computer durante una sessione di trattamento
• non aprire e-mail o allegati dall’incerta o pericolosa provenienza
• non installare programmi scaricati da siti non ufficiali o comunque di natura incerta
• tenere sempre attivata l’opzione del browser “richiedi conferma” per l’installazione e il download di
oggetti/programmi; disattivare sul browser l’esecuzione automatica degli script Java e Activex
• eseguire periodicamente la pulizia del disco fisso da “cookies”, file temporanei ecc.
• evitare i falsi allarmi e le catene di sant’Antonio, controllando preventivamente la bontà delle
informazioni prima di diffonderle
• non utilizzare le stesse credenziali (username e password) per l’accesso ai diversi servizi online (es.
Posta elettronica dell’Associazione, Facebook, Home banking, Posta elettronica personale, ecc.).
13) Misure di sicurezza organizzative
Sempre al fine di garantire il rispetto del GDPR e la riservatezza e l’integrità dei dati e ridurre al minimo di
rischi di perdita o distruzione dei dati o di accesso o uso non autorizzato dei dati, l’Associazione adotta le
seguenti misure di sicurezza organizzative:
• I documenti contenenti dati di persone fisiche sono tenuti in armadi chiusi a chiave non accessibili
ad estranei
• I documenti sono resi accessibili solo agli Incaricati/Autorizzati a trattare i dati contenuti in detti
documenti
14) Registro delle attività di trattamento
Si ritiene che l’Associazione non sia tenuta alla redazione del Registro delle attività di trattamento, non
rientrando nelle ipotesi di cui all’art. 30 GDPR. La verifica circa l’assenza di tale obbligo sarà verificata
annualmente nel mese di marzo di ogni anno in relazione ad
eventuali modifiche nel sistema privacy dell’Associazione. In ogni caso, le presenti Linee Guida e i relativi
MODULI adempiono alle funzioni e contenuti del Registro.
15) Responsabile della protezione dei dati (Data Protection Officer – DPO)
Si ritiene che l’Associazione non sia tenuta alla nomina di un DPO ai sensi dell’art. 37 GDPR, in quanto non
svolge trattamenti “su larga scala” di dati personali. La verifica circa l’assenza di tale obbligo sarà verificata
annualmente nel mese di marzo di ogni anno in relazione ad eventuali modifiche nel sistema privacy
dell’Associazione.
16) Data Breach o “violazione di dati personali”
Ogni qualvolta qualsiasi persona all’interno dell’Associazione si accorga di una perdita o un danneggiamento
o una fuoriuscita di dati personali o un accesso illecito da parte di estranei deve darne immediata notizia al
Presidente o al Socio Volontario Marco lampo.
Il Presidente e il Socio Volontario Marco Lampo provvederanno:
a comunicare la violazione all’interessato senza ritardo, se la violazione non comporta un rischio/pregiudizio
per i diritti e le libertà dell’interessato e salvo non vi siano le condizioni dell’art. 34 GDPR
Le violazioni vanno scritte a cura del Socio Volontario Marco Lampo nel MOD. 17_Registro data breach
17) Formazione in tema di privacy e tutela dei dati personali
Il Presidente o suo incaricato cura lo svolgimento, con cadenza almeno annuale, di un evento formativo
interno all’Associazione in tema di privacy e trattamento e tutela dei dati personali, secondo un MOD. 14_
Piano della formazione.