Terzo Settore e adempimenti privacy: facciamo il punto
Il mondo del non profit sta attraversando un periodo di grandi novità legate alla riforma del c.d. “Terzo Settore”, che impone scelte strategiche fondamentali per il futuro e importanti adeguamenti.
Rimane tuttavia indispensabile non distogliere lo sguardo da un’altra normativa, quella dettata in materia di privacy.
Il Regolamento Europeo n. 2016/679, che ha rivoluzionato la disciplina del trattamento dei dati personali, è ormai pienamente applicabile sin dal mese di maggio 2018, ma la normativa sul tema è sempre interessata da nuove disposizioni che impongono una costante attenzione nello svolgimento delle attività e nei relativi adeguamenti.
È bene ricordare che le associazioni, così come tutte le organizzazioni non profit, sono tenute ad ottemperare agli obblighi privacy al pari delle realtà imprenditoriali.
L’obbligo imposto dal Regolamento Europeo, senza distinzioni, è, infatti, quello di adottare tutte le misure di sicurezza, a partire da quelle specificamente previste, che siano adeguate ai rischi che la propria realtà può presentare rispetto al trattamento illecito di dati.
Vi sono, poi, le specifiche prescrizioni del Garante, di cui dover tener conto, come quelle dettate per organismi di tipo associativo, fondazioni, chiese, associazioni o comunità religiose che trattano dati cd. “particolari” (tra questi, ricordiamo, i dati relativi alla salute, quelli che rivelano le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ecc.).
Pensiamo, ad esempio, alle associazioni che operano per un fine di assistenza sociale o socio-sanitaria, che trattano dati relativi alla salute. In questi casi, occorrerà avere riguardo anche a queste indicazioni.
Diventa, quindi, indispensabile, anche per gli enti non profit, eseguire una minuziosa mappatura dei dati personali che vengono trattati e dei soggetti interessati al fine di effettuare una valutazione dei rischi e verificare la corretta adozione di tutte le misure richieste dalla normativa in materia, per non incorrere nelle pesanti sanzioni di cui al Regolamento Europeo n. 2016/679.
Anche in questo caso si propone, di seguito, una breve check list dei principali adempimenti.
- Informative
Per tutte le categorie di interessati – e quindi per tutte le tipologie di soggetti di cui vengono trattati i dati (associati, dipendenti, relativi familiari, donatori, fornitori, ecc.) – devono essere predisposte le relative informative, redatte secondo le indicazioni del Regolamento. Lo scopo è quello di informare, appunto, gli interessati di quali dati vengono trattati, come e per quanto tempo vengono conservati, a chi vengono comunicati, ecc.
- Nomine
Tutti i soggetti che, internamente all’ente, hanno accesso e quindi trattano i dati personali, devono essere specificamente autorizzati e istruiti sulle modalità del trattamento e formalmente nominati come designati. Sarà indispensabile anche verificare e garantire che il trattamento avvenga esclusivamente da parte di soggetti che necessitano di trattarli per ragioni legate alle attività svolte.
- Contratti ex art. 28 GDPR
Con tutti i soggetti che, esternamente all’ente, trattano o possono trattare dati personali per conto dell’ente stesso (consulenti, professionisti, altre organizzazioni, soggetti che si occupano della gestione e manutenzione di software ecc.) deve essere stipulato il contratto previsto dall’art. 28 del Regolamento, che disciplina le modalità con cui devono essere trattati i dati.
- Registro dei trattamenti
Tutti i trattamenti effettuati devono trovare riscontro nel registro dei trattamenti, che deve essere predisposto e tenuto costantemente aggiornato e, all’occorrenza, esibito in caso di controlli da parte dell’autorità competente.
- Policy e procedure
Tra le policy e procedure da adottare, vi è sicuramente quella per la gestione di eventuali “data breach”. Si tratta di una procedura che stabilisce a priori come deve essere affrontata la malaugurata ipotesi di una violazione alla sicurezza dei dati. Pensiamo al caso in cui i dati vengano persi accidentalmente (per errore umano o a seguito di un attacco informatico) o, sempre per errore, vengano comunicati a soggetti non autorizzati. La procedura ha il vantaggio di facilitare le valutazioni che, in questo caso, si rendono necessarie per poter poi adempiere agli obblighi previsti dal Regolamento (annotazione della violazione nell’apposito registro, eventuale notifica al Garante e comunicazione agli interessati).
- Nomina del DPO
Occorrerà valutare l’obbligatorietà o anche solo l’opportunità di nominare un Responsabile della Protezione dei Dati, i cui dati di contatto devono essere inseriti nelle informative e comunicati al Garante per la protezione dei dati personali.
Tra i casi di obbligatorietà è il caso di ricordare l’ipotesi in cui vi sia un trattamento, su “larga scala”, di dati “particolari”.
- Misure di sicurezza
Devono, poi, ovviamente essere adottate e costantemente aggiornate, in forza del noto principio di accountability, tutte le misure tecniche e organizzative adeguate per garantire – ed avere possibilità di dimostrare – che sia stato raggiunto un livello di sicurezza adeguato ai rischi (da quelle fisiche e banali quali la corretta conservazione dei documenti cartacei contenenti i dati a quelle tecniche ed informatiche quali password di accesso ai pc, sistemi antivirus, di backup ecc.).
Tutto ciò, sempre nel rispetto dei principi generali del Regolamento. Tra questi:
- esattezza e minimizzazione dei dati personali: devono cioè, essere raccolti soli i dati strettamente necessari per le finalità da perseguire e devono essere adottate procedure per la verifica e l’aggiornamento dei dati stessi;
- limitazione della finalità e della conservazione: i dati devono essere raccolti e trattati per finalità determinate, esplicite e legittime e conservati per il tempo necessario commisurato alle finalità stesse.