GDPR: Il nuovo regolamento europeo sulla privacy

Il 25/05/2018 diventerà operativo il nuovo regolamento europeo sulla protezione dei dati personali (GDPR).

Il nuovo regolamento riguarderà anche gli enti del Terzo Settore, quindi vediamo insieme di che si tratta.

Diciamo subito che la materia è complessa e alcune delle misure da adottare cambiano in base alla specificità di ogni singolo ente.

In questo articolo elencheremo i cambiamenti più importanti ed i provvedimenti di base che gli enti dovranno applicare.

 

Cos’è il GDPR?

Il GDPR è l’acronimo di General Data Protection Regulation. Indica il  regolamento UE 2016/679  che tutti i Paesi europei dovranno applicare dal 25/05/2018.

Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o comunque utilizzano dati personali di persone fisiche, cittadine dell’Unione europea.

La sede dell’organizzazione non è rilevante: il GDPR si applica anche alle aziende extra UE, se queste trattano i dati di persone europee.

Con il nuovo regolamento si cambia completamente prospettiva di lavoro. Finora siamo stati abituati a considerare la privacy come un obbligo da rispettare con comportamenti formali (ne avevamo parlato in questo  articolo).

Ora invece non ci sono obblighi uguali per tutti gli enti. La normativa prevede che l’ente faccia un’autoanalisi e definisca le misure tecniche e organizzative che reputa opportune per gestire i dati, tutelarli e per informare gli interessati sui loro diritti.

Questo cambio di prospettiva è dovuto al fatto che nell’era digitale i dati personali sono diventati oro. Sono cercati, pagati, rubati e usati per fini non sempre leciti (come le cronache degli ultimi mesi hanno dimostrato).

Alla luce dell’importanza che i dati hanno assunto nell’economia attuale è quindi diventato essenziale proteggerli e prevenire possibili abusi nell’utilizzo delle informazioni riferite agli individui.

 

Cosa cambia in pratica?

Oltre all’approccio di base cambiano molte cose. Queste sono le più significative:

  • l’informativa diventa breve, comprensibile anche ai minori e completa dell’origine dei dati e del tempo di conservazione previsto;
  • il consenso al trattamento deve essere inequivocabile, quindi desumibile in base ai comportamenti degli interessati;
  • devono essere chiari e resi noti i ruoli delle persone incaricate del trattamento;
  • viene introdotto il registro dei trattamenti;
  • sparisce il documento programmatico sulla sicurezza e nasce il documento di valutazione di impatto del trattamento dei dati;
  • vengono introdotti nuovi diritti, come quelli alla portabilità dei dati e all’oblio;
  • diventa essenziale progettare la tutela dei dati personali e documentare l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali.

 

Quali sono i dati personali rilevanti?

A titolo di esempio rientrano nel GDPR i dati anagrafici e gli indirizzi email di:

  • soci, volontari, donatori, e beneficiari delle attività;
  • iscritti alla newsletter;
  • clienti e fornitori;
  • persone che si iscrivono ad eventuali corsi/iniziative.

Il nuovo regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, “compresi il nome e la forma della persona giuridica e i suoi dati di contatto” (art.14).

 

Da cosa cominciamo?

Il tempo stringe e il 25 maggio è alle porte. Come prima cosa le organizzazioni non profit devono:

  • fare una mappatura aggiornata di tutti i dati di cui dispongono e della loro origine (da dove vengono? Per quale uso sono stati raccolti?);
  • fare una mappatura degli eventuali fornitori extra UE utilizzati per la gestione di alcuni dati (sito istituzionale, social, cloud, piattaforme digitali, ecc.);
  • fare una mappatura di chi tratta i dati e perché all’interno dell’ente;
  • analizzare i rischi del trattamento e definire i rimedi da adottare;
  • controllare le proprie informative sulla privacy e verificare come potrebbero cambiare in funzione delle nuove regole;
  • definire nuove regole di acquisizione e documentazione del consenso;
  • verificare se si trattano i dati di minori e definire le procedure per richiedere l’autorizzazione da parte di chi esercita la potestà di genitore (per i minori di 16 anni).

 

E subito dopo

Entrando nel dettaglio, entro il 25 maggio 2018 il  titolare del trattamento dei dati  dovrà:

  • attribuire i ruoli e le responsabilità del personale interno che ha accesso ai dati;
  • far si che nessuno tratti i dati se non autorizzato e non istruito;
  • se il trattamento si basa sul consenso degli interessati, dovrà essere in grado di dimostrare che l’interessato ha concesso il proprio benestare;
  • adottare misure appropriate per fornire l’informativa agli interessati;
  • se le finalità del trattamento non richiedono più l’identificazione dell’interessato, dovrà cancellare le informazioni identificative mantenendo eventualmente solo lo storico delle azioni effettuate;
  • agevolare l’esercizio dei diritti degli interessati (accesso, modifica, cancellazione, portabilità, ecc.);
  • adottare misure organizzative atte a garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento;
  • tenere un registro delle attività di trattamento svolte;
  • considerare il rischio di perdita/furto/manipolazione dei dati al fine di dotarsi di misure tecniche che ne garantiscano la sicurezza;
  • documentare qualsiasi violazione dei dati personali ed i provvedimenti adottati;
  • notificare all’autorità di controllo eventuali violazioni, se possibile entro 72 ore;
  • stabilire un termine per la verifica periodica dei dati in modo da non conservarli più a lungo del necessario.

In pratica, per essere esonerato dalla responsabilità, l’ente deve essere in grado di dimostrare che un eventuale evento dannoso non gli è in alcun modo imputabile.

 

In conclusione

Ogni singola organizzazione dovrà designare il titolare del trattamento dei dati (di norma il Presidente) e redigere il registro dei trattamenti dei dati personali.

Cosa andrà scritto nel registro e quali attrezzature dovranno eventualmente essere acquistate dipende dalla specificità di ogni singola organizzazione.

Per capirci: un ente che riceve donazioni online o che gestisce una newsletter attraverso una piattaforma online straniera, o che gestisce dati particolari (cioè quelli che fino ad oggi erano chiamati “sensibili”) avrà maggiori punti di rischio di un ente che gestisce solo la mailing list dei dei propri soci.

Inoltre, le associazioni che aderiscono ad organismi nazionali dovranno verificare se il proprio ente di riferimento varerà delle linee di condotta o della modulistica già pronta.

La cosa preoccupante è che le informazioni specifiche per il Terzo Settore sono ancora poche, nonostante manchi meno di un mese all’operatività del nuovo regolamento.

Ecco allora alcune risorse utili per approfondire l’argomento:

Gambe in spalla che il tempo corre!

Condividi su :

Iscriviti alla nostra newsletter

È comoda, gratuita e ti arriva ogni 15 giorni.
Di sabato, così puoi leggerla con calma quando vuoi.