GDPR 2016/679: ESISTE UN ADEGUAMENTO “SEMPLIFICATO” PER GLI ENTI DEL TERZO SETTORE?
Come ormai noto alla stragrande maggioranza degli operatori economici del nostro Paese, il 25 maggio 2018 è entrato in vigore il Regolamento Europeo 2016/679 (GDPR).
Ciò che non è altrettanto noto è che questo regolamento si applica tanto alle realtà che perseguono un profitto (enti, società e/o professionisti in genere), quanto agli Enti del Terzo Settore o associazioni no profit, che dir si voglia.
Anche agli Enti del Terzo Settore, infatti, al pari di ogni altro soggetto che tratta dati personali, è imposto di adottare tutta una serie di misure di sicurezza a livello documentale, a livello informatico e a livello organizzativo.
Anzi, a ben vedere, sono proprio gli Enti del Terzo Settore che devono porre un’attenzione ancora maggiore all’”aspetto privacy” visto che, nella maggior parte dei casi, trattano dati relativi alla salute dei propri utenti e spesso lavorano con enti o amministrazioni pubbliche che, verosimilmente, molto presto, inseriranno l’adeguamento alla normativa privacy come requisito per partecipare a questo o quel bando pubblico.
Ma vediamo, più nel dettaglio, quali sono le misure “minime” che un’Associazione di Volontariato deve adottare per essere GDPR compliant.
- L’attività di mappatura e di individuazione delle misure di sicurezza adottate
La prima attività dal quale ogni ente – profit o non profit – dovrebbe partire è una mappatura dei trattamenti effettuati e delle modalità con cui vengono trattati.
Partendo da tale aspetto, anche le associazioni potranno, da un lato, rendersi conto dei trattamenti effettuati grazie alla redazione del Registro dei Trattamenti, e, dall’altro, individuare le misure di sicurezza in essere e quelle che invece dovrebbero essere adottate.
Si badi bene, le misure di sicurezza e le prassi operative interessano tanto la gestione del dato a livello cartaceo/documentale, quanto e soprattutto il trattamento del dato a livello informatico.
Per tale motivo sarà necessario “mappare” anche il trattamento effettuato con mezzi informatici mediante il c.d. GDPR Assessment, verificando quali misure di sicurezza sono già state adottate dall’associazione per evitare la perdita e/o il trattamento illecito del dato (ad es. presenza di screensaver con password nei pc, presenza di credenziali di accesso al server, presenza di antivirus, salvataggio in cloud dei dati, criptazione dei dati ecc.) e quali, viceversa, dovranno essere adottate con l’aiuto, nella maggior parte dei casi, di un tecnico informatico. - La predisposizione delle informative
A livello documentale, una volta individuate le categorie di trattamento effettuate, non si potrà prescindere dal predisporre un adeguato sistema di informative con cui l’Associazione dovrà comunicare i propri associati, utenti, dipendenti, volontari e fornitori o collaboratori esterni del tipo di trattamento che l’Associazione effettua, delle finalità perseguite, delle modalità con cui viene posto in essere il trattamento, del periodo di conservazione dei dati (si badi bene, i dati personali raccolti non possono essere tenuti per sempre!), oltre che dei diritti che ogni interessato può vantare nei confronti della stessa associazione. - La redazione delle Autorizzazioni al trattamento e delle Nomine a Responsabile
Ci sarà, poi, da predisporre le autorizzazioni al trattamento da consegnare ai dipendenti e/o volontari che materialmente effettuano le attività di trattamento e da individuare e nominare Responsabili Esterni tutti quei soggetti, appunto, esterni all’associazione (ad es. il commercialista, il consulente del lavoro, il tecnico informatico, il fornitore di server o gestionali ecc.) che trattano dati personali per conto dell’ente del terzo settore. - L’adozione di nuove procedure aziendali
Il nuovo sistema privacy impone, infine, l’adozione di una serie di cautele a livello operativo.
Sarà quindi indispensabile anche per l’ente no profit adottare delle nuove procedure maggiormente rispettose della riservatezza del dato trattato.
Senza procedere ad un esame delle singole procedure adottabili, anche mediante l’adozione di un Modello Organizzativo di Gestione che le ricomprenda, c.d. MOG Privacy – procedure che inevitabilmente non potranno e non dovranno essere standardizzate, ma adattate alla singola realtà dell’ente – preme spendere alcuni brevi cenni sulla procedura di Data Breach, che, più di altri aspetti, ha generato il panico tra gli operatori nazionali.
Per Data Breach si intende la violazione delle misure di sicurezza adottate che comporta la perdita, la distruzione, la modifica, la divulgazione o l’accesso non autorizzati di dati personali di cui è Titolare l’ente. In casi del genere, ai sensi dell’art. 33 del Regolamento Europeo 2016/679, l’associazione ha l’obbligo di informare, entro 72 ore dalla scoperta della violazione, l’Autorità di controllo, informandola del tipo di violazione, delle categorie di dati violati, del numero approssimativo di interessati coinvolti, dei dati di contatto del Responsabile della Protezione dei Dati o di altro soggetto incaricato dall’Associazione, delle probabili conseguenze che deriveranno dalla violazione e delle misure di sicurezza adottate per porre rimedio alla violazione medesima e per attenuarne le conseguenze negative.
Ad ogni modo, a prescindere dai singoli documenti da predisporre o dalle singole procedure e/o misure di sicurezza da adottare, è fondamentale comprendere ed attuare il c.d. principio dell’accountability che consiste nell’informazione e nella conseguente responsabilizzazione del Titolare del trattamento, vale a dire, per quanto qui maggiormente interessa, dell’Ente del Terzo Settore.
Ogni Titolare, poi, avrà una sorta di potere discrezionale per individuare le misure documentali, operative e informatiche da adottare sulla base dei propri mezzi a disposizione.
Ciò che è veramente fondamentale è quantomeno iniziare il processo di adeguamento alla normativa privacy, così da poter dimostrare in caso di controlli – che, pare, abbiano già avuto inizio – che l’ente si sta adeguando ed evitare l’applicazione delle sanzioni previste.
