Esiste un organigramma nazionale che delinea i diversi ruoli in merito al trattamento di tutti i dati che entrano in contatto con il SISM.
4.9.2.1 A livello nazionale
TITOLARE (Presidente Nazionale per conto dell’Associazione): è la figura alla quale vengono trasmessi i dati.
Concettualmente è rappresentato dal SISM Nazionale che riceve i dati in quanto ente; di fatto però all’atto pratico il ruolo è ricoperto dal Presidente Nazionale. Ad egli spetta la responsabilità, quasi esclusiva, di scegliere i metodi di raccolta dei dati. Il titolare può nominare i responsabili interni ed esterni al trattamento dei dati stessi.
RESPONSABILE INTERNO (CN, ITC, Coordinatore SupCo): è qualunque ente interno all’organizzazione SISM. All’interno del SISM nazionale i responsabili interni sono rappresentati da tutti i membri del Consiglio Nazionale (CN), dall’ITC in quanto
è la figura tecnica che nella pratica si occupa di gestire i metodi di raccolta dei dati e il coordinatore del SupCo in quanto quest’organo deve mantenere la sua imparzialità e nel momento in cui il Coordinatore diventa responsabile interno non necessita di un’ulteriore delega da parte del Presidente, in questo modo si evitano situazioni in cui si potrebbero creare conflitti d’interesse.
A sua volta il responsabile interno può nominare gli incaricati (o delegati) al trattamento dei dati.
RESPONSABILE ESTERNO (SSLL, enti esterni): è un qualunque ente esterno all’organizzazione SISM. Ad esempio, un consulente o un collaboratore esterno come il commercialista, l’assicuratore o l’avvocato a cui vengono trasmessi i dati che gli servono per poter svolgere il proprio lavoro. In questo caso è responsabilità del titolare far firmare l’atto di nomina a responsabile esterno in modo da garantire all’ente esterno un corretto uso dei dati.
Anche le Sedi locali sono dei responsabili esterni nei confronti del SISM nazionale in quanto risultano come associazioni terze e giuridicamente sono associazioni indipendenti. Per le Sedi Locali la figura fisica di riferimento è l’Incaricato Locale che dovrà opportunamente firmare i documenti dell’atto di nomina a responsabile esterno.
INCARICATI AL TRATTAMENTO (ASDC, LOMEi, CPN, ITG, membri SupCo, LLOO, CLPN di scambio): non sono inclusi come responsabili interni perché essi si ritrovano a trattare solo alcuni specifici dati. In particolare:
- i CPN trattano i dati dei singoli iscritti al progetto, ad eventi locali di formazione e alle mailing list;
- L’ITG coadiuva l’ITC e quindi deve avere accesso ai dati.
- I membri del SupCo lo sono perché devono mantenere l’imparzialità nello svolgere il lavoro.
- I LLOO e i CLPN lo sono nel momento in cui vi sono i progetti di scambio, che possono interessare tutte le aree, e che necessitano di trattamento di dati dei Soci che rientrano in graduatorie nazionali, per questo motivo diventano incaricati a livello nazionale.
I Team non necessitano di nomina perché i dati che gestiscono i Team, sono dei dati di categorie di Soci che stanno già dando il loro consenso.
4.9.2.2 Alivello locale
TITOLARE (IL per conto dell’Associazione locale): Come accade a livello nazionale, in linea teorica è l’associazione del SISM-Sede Locale ma nella pratica è rappresentato dalla figura dell’Incaricato Locale. Svolge gli stessi ruoli del Titolare Nazionale ma a livello locale nei confronti della propria associazione.
RESPONSABILI ESTERNI (enti esterni): anche in questo caso si considerano gli eventuali collaboratori, consulenti, come i commercialisti o gli avvocati.
RESPONSABILI INTERNI (CE, LOIT): sono coloro che vengono delegati dal titolare e sono i membri del CE e il LOIT, per gli stessi motivi per cui al livello nazionale vi è l’ITC.
INCARICATI AL TRATTAMENTO: LLOO, LCCB e Coordinatori locali di progetto nazionale
La differenza tra responsabile ed incaricato non risiede nel tipo di responsabilità ma nel ruolo:
● il responsabile è colui che elabora le strategie e i metodi con cui i dati vengono raccolti dopo delega da parte del titolare;
● l’incaricato al trattamento può solo ricevere i dati senza deciderne il metodo di raccolta.
Uno dei principi fondamentali su cui si basa il GDPR è la limitazione del numero di persone a cui è necessario diffondere i dati, per tale motivo è importante che vengano effettuate il minor numero di deleghe a responsabili o incaricati, in quanto ogni soggetto nominato rappresenta una maggiore dispersione dei dati. Proprio per questo gli assistant non ricevono alcuna delega, dal momento che sono di numero variabile e ciò causerebbe una grande dispersione dei dati.
Inoltre le nomine vengono effettuate quando vi è un trattamento continuo dei dati che non si limita solo a determinate giornate o attività. Per questo motivo i Soci tesserati (es. OC coordinator, formatori, assistant) non dovranno firmare
alcun documento poiché trattano dati di partecipanti in modo saltuario, per uno specifico momento o evento, con una finalità associativa e quindi, secondo la normativa, non necessitano di ulteriori autorizzazioni.
La Sede Locale e, nelle sue vesti, l’Incaricato Locale saranno quindi responsabili esterni nei confronti del SISM Nazionale ma risultano anche titolari nei confronti della Sede Locale stessa.
4.9.2.3 Atti di nomina
Tutte le figure devono essere incaricate al trattamento.
Essendo il titolare dei dati il SISM Nazionale, automaticamente lo sarà colui che la rappresenta, ovvero il Presidente Nazionale. Al locale invece lo sarà automaticamente l’Incaricato Locale.
Tutte le altre figure devono essere necessariamente nominate o incaricate per il trattamento dei dati.
Le nomine avverranno:
Per quanto riguarda il SISM Nazionale:
- Per il CN a gennaio, poiché mese in cui entrano in carica i nuovi eletti; da quel momento il Presidente Nazionale può incaricare le nuove figure.
Per quanto riguarda il SISM Locale
- Per la SL, la prima fase sarà l’Istanza di Rinnovo in cui vi sarà l’atto di nomina a responsabile esterno della Sede Locale.
- Le figure interne alla SL verranno nominate post assemblea dei Soci (CE e il LOIT).
- I LLOO, l’LCCB, i coordinatori locali di progetto nazionale saranno incaricati al trattamento post assemblea
Tutti questi documenti dovranno essere firmati, consegnati e conservati accuratamente: è molto importante creare degli archivi che contengano queste informazioni, catalogate per anni, sia in modalità cartacea che online, scannerizzando i documenti.
4.9.3. Registro delle attività di trattamento