Associazioni alla prova Privacy

Posted on

Il 25 maggio 2018 entrerà in vigore il Regolamento UE n. 679/2016 General Data Protection Regulation – GDPR che riscrive le regole per il trattamento dei dati personali. Si tratta di una norma sovranazionale che permetterà nella UE l’applicazione di un medesimo quadro normativo su un settore particolarmente delicato, eliminando eventuali disarmonie.

L’Italia ha già una corposa regolamentazione in tema di protezione dei dati personali che risale alla L. 675/1996 che, dopo alcune modifiche ed integrazioni, è stata sostituita dal D.Lgs. 196/2003. Il nostro Parlamento, con la cosidetta legge comunitaria n. 163/2017, ha comunque delegato il Governo ad adottare un decreto legislativo al fine di adeguare il quadro normativo nazionale alle disposizioni contenute nel GDPR: decreto che ancora non è stato pubblicato in gazzetta ufficiale.

Le associazioni di volontariato e del terzo settore sono tra i soggetti tenuti ad adeguarsi al regolamento in quanto non sono soggetti ad adempimenti solo i trattamenti di dati messi in pratica da persone fisiche per fini slegati da una professione (come ad esempio l’agenda telefonica personale e il trattamento dei dati dei propri amici e famigliari). Sono soggetti agli adempimenti del nuovo regolamento solo i trattamenti di dati personali, cioè dati che a vario titolo identificano persone fisiche e non i dati di enti, che invece sono ancora presi in considerazione dall’attuale Codice privacy italiano ( Dlgs 196/03).
Per scrupolo ricordiamo che le organizzazioni di volontariato erano già precedentemente coinvolte in una serie di adempimenti legati alla tutela dei dati personali trattati, diversi tra dati ordinari e dati sensibili.

Analizziamo brevemente i cambiamenti più rilevanti.

Informativa privacy
L’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene solo se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Potranno essere utilizzate icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.
L’informativa dovrà contenere delle nuove informazioni come ad esempio la durata del trattamento dei dati

Consenso
Il consenso è un presupposto necessario di qualunque trattamento di dati, deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

Registro dei trattamenti
Ogni titolare del trattamento o ogni responsabile tengono un registro delle attività di trattamento. Tale obbligo è per le aziende con più di 250 dipendenti o che trattano dati rischiosi. Il garante della Privacy italiano consiglia la tenuta di tale registro a tutti.

Data Protection Officer
E’ una figura professionale di alto profillo che svolge le funzioni di responsabile per la protezione dei dati.
Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto
E’ obbligatorio per gli enti pubblici e tutti i soggetti (enti e imprese) che nelle loro attività principali trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese o gli enti , che non ricadono invece nell’obbligo di legge, possono comunque decidere di dotarsi ugualmente di un data protection officer.

Privacy by design – privacy by default
La privacy deve essere vista come un elemento base delle attività dell’ente: per ogni attività dell’ente che comporta il trattamento di dati esso dovrà porsi a monte il problema di come proteggere i dati raccolti e di trattarli per il tempo e nel modo strettamente necessario per quell’attività.
Ogni ente dovrà valutare il rischio in termini di privacy legato ai trattamenti di dati effettuati e prendere le necessarie misure tecniche per proteggerli.
Gli adempimenti pertanto saranno su misura per ogni soggetto a seconda dei dati trattati.

Obbligo di segnalazione in caso di violazione dei dati
Nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati.
Nell’ambito di un prossimo intervento cercheremo di approfondire come calare queste novità sul concreto operare di un’associazione del terzo settore.

Per approfondire Guida al nuovo Regolamento europeo in materia di protezione dati.