Che cosa si intende per gestione degli eventi in regola con il GDPR?

Con “evento” si intendono tutte quelle situazioni, sia digitali (es. webinar/corsi/FAD in videocall) che in presenza, dove, in base alla natura e all’ambito dell’evento stesso, devono essere necessariamente o in via facoltativa gestiti e trattati dati personali. In tale definizione rientrano quindi sia gli eventi organizzati, attraverso piattaforme digitali (come i social network ad esempio), che gli eventi fisici o in presenza, come fiere, convegni o seminari. In entrambi i casi è necessario per l’organizzatore predisporre procedure idonee, anche tramite l’impiego di strumenti digitali, per la raccolta di dati personali.

Fatta questa premessa, è necessario quindi individuare le procedure corrette. Innanzitutto, bisogna conoscere gli strumenti a disposizione dell’organizzatore: è importante avere consapevolezza delle policy delle varie piattaforme social utilizzate, come vengono trattati i dati personali ed eventualmente a quali paesi quest’ultimi vengono trasferiti.

Gestire a norma un evento: quali sono i dati necessari e qual è l’utilizzo corretto

Con “trattamento dei dati” si intendono tutte quelle attività come, ad esempio, la raccolta, la registrazione, la conservazione, la diffusione, la modifica o la consultazione dei dati fino alla cancellazione degli stessi.  Ogni singola attività sopra elencata impone quindi al Titolare del Trattamento di gestire correttamente i dati personali dell’interessato.

È responsabilità del “Titolare del trattamento” raccogliere i dati necessari dall’interessato per finalizzare l’iscrizione all’evento: chi organizza l’evento, infatti, è tenuto a redigere un’informativa sul trattamento dei dati personali dove, con un linguaggio semplice e chiaro, vengono dettagliate all’interessato le finalità della raccolta dei propri dati.

Una volta impostata l’informativa, nel caso in cui la raccolta dati avvenga in formato digitale, è necessario predisporre un apposito modulo online e in fondo al medesimo posizionare una checkbox (dove l’interessato dichiara di aver preso visione dell’informativa).

Inoltre, se l’interessato intende aderire ad altre iniziative digitali del Titolare del trattamento (ad esempio, l’iscrizione alla newsletter) è necessario predisporre una specifica checkbox (dove l’interessato dichiara espressamente di volersi iscrivere alla newsletter).

Nel caso in cui la raccolta dati avvenga in modalità “tradizionale” o “analogica”, è comunque necessario rendere disponibile all’interessato l’informativa sul trattamento dei dati, in formato cartaceo e/o anche attraverso dispositivi come tablet o codici QR. , . È importante che l’informativa sia messa a disposizione degli interessati prima di raccogliere i loro dati e che sia sempre accessibile a coloro che vorranno verificare quali consensi hanno fornito e per quali finalità.

1. Nel rispetto di quanto previsto dall’articolo 13 del GDPR, nel momento in cui i dati personali sono raccolti dall’interessato (prima o durante l’evento), devono essere fornite le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) GDPR, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali verso un paese al di fuori della UE e delle misure che sono state adottate in tal caso per garantire una equivalente tutela dei dati personali.

g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

h) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

i) qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocare lo stesso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

j) il diritto di proporre reclamo a un’autorità di controllo (Nel caso dell’Italia si tratta del Garante per la Privacy);

k) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

l) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’articolo 13 del GDPR, inoltre, specifica che l’informativa deve essere fornita all’interessato prima di effettuare il trattamento e che il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, dovrebbe fornire all’interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie.

2. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti (per esempio per costituire un database di contatti per finalità di marketing), prima di tale ulteriore trattamento il Titolare, oltre a fornire ogni più utile informazione rispetto a tale diversa finalità, dovrà raccogliere un ulteriore consenso per il trattamento dei dati dell’interessato

Terminato l’evento, sarà cura del titolare trattare i dati secondo le finalità e i modi indicati nell’informativa.

La procedura per gestire gli eventi in regola con il GDPR

A questo punto subentra uno dei principi fondamentali del GDPR: l’accountability (“responsabilizzazione”), termine anglosassone che si applica all’Organizzatore dell’evento (da considerarsi “Titolare del Trattamento” sulla base del GDPR) e che abbraccia una serie di aspetti, e tra i vari, l’affidabilità e la competenza aziendale in ogni fase della gestione dei dati personali.

L’accountability impone, infatti, all’Organizzatore dell’evento di dover dimostrare il rispetto dei principi di cui all’art. 5 par.1 del GDPR, in ogni fase del trattamento dei dati personali eventualmente raccolti in occasione dell’evento. Per fare ciò è indubbiamente necessario per l’Organizzatore dell’evento adottare buone prassi che permettano di valutare l’impatto del trattamento sui partecipanti agli eventi e di elaborare correttamente i dati raccolti, anticipando possibili problematiche.

In particolare, le possibili misure idonee per garantire la corretta gestione degli eventi, in regola con il GDPR, prevedono che vengano valutati la natura, il campo di applicazione, il contesto e le finalità del trattamento dei dati personali.

Una volta effettuata la predetta valutazione, il titolare del trattamento dovrà inoltre prendere in considerazione l’entità e la probabilità dei rischi, nonché la gravità per i diritti e le libertà delle persone fisiche in caso di eventuale violazione.

La gestione degli eventi prevede quindi la messa in atto di misure tecniche e organizzative adeguate e idonee in grado di garantire che il trattamento dei dati personali venga effettuato conformemente al GDPR.

Nel caso in cui ci si avvalga di soggetti esterni nella gestione dei dati dell’evento (ad esempio piattaforme online, compagnie organizzatrici di eventi, sistemi di biglietteria etc), questi andranno nominati come responsabili esterni del trattamento dei dati ai sensi e agli effetti dell’art. articolo 28 del GDPR.

Il responsabile, opera solo seguendo le istruzioni del titolare, ed è una figura che deve fornire supporto a quest’ultimo in merito alle caratteristiche e alle modalità del trattamento dati ed assistere lo stesso Titolare con misure tecniche ed organizzative adeguate rispetto al trattamento da effettuare.

L’articolo 28 del GDPR, infatti, individua i requisiti soggettivi e le competenze che deve possedere un Responsabile esterno del Trattamento. Quest’ultimo è tenuto, tra le varie, ed in particolare a:

• Fornire garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate al trattamento;
• Garantire la tutela e l’esercizio dei diritti degli interessati.
  
  

Il paragrafo 3 dell’articolo 28 GDPR specifica che il responsabile esterno del trattamento deve essere designato dal Titolare del trattamento tramite un contratto; lo stesso articolo elenca il contenuto minimo di tale contratto.

In conclusione per gestire gli eventi in conformità al GDPR è importante ricordare che:

• E’ opportuno prestare particolare attenzione sulla tipologia dei dati raccolti, cercando di ottenere solo quelli indispensabili per consentire all’interessato la partecipazione all’evento
• il consenso deve essere sempre prestato da parte dell’interessato qualora l’Organizzatore dell’evento intenda porre in essere eventuali attività di marketing (invio di newsletter, invio di messaggi promozionali e/o commerciali)
• Non è possibile raccogliere i dati dei partecipanti all’evento senza aver prima fornito l’Informativa che illustri a quest’ultimi le finalità e le modalità di trattamento dei dati raccolti;
• Non è possibile effettuare attività di marketing post evento senza aver raccolto il “Consenso” degli interessati. Questo include anche l’invio di materiale promozionale;
• Il Titolare deve individuare i propri Responsabili prediligendo quelli più competenti nel mettere in atto misure tecniche ed organizzative adeguate alla tipologia di trattamento da effettuarsi e che garantiscano l’esercizio dei diritti degli interessati.
• Il Titolare deve fornire le necessarie istruzioni scritte ai propri Responsabili sulla base di quanto previsto dall’art 28 del GDPR e verificare il rispetto delle stesse.