Da domani 25 maggio entrerà in vigore il General Data Protection Regulation (GDPR) e tutti gli Stati UE faranno riferimento ad un unico impianto legislativo in materia di privacy: il Regolamento UE 2016/679, noto come (GDPR).
Tutte le aziende, pubbliche e private, e le organizzazioni, anche non profit, saranno soggette al Regolamento, indipendentemente dalla tipologia, dal fatturato e dal numero dei dipendenti pena l’irrogazione di sanzioni pecuniarie amministrative che possono raggiungere anche il 4% del fatturato globale annuo o 20 milioni di euro.
Ogni dato riconducibile ad una persona fisica sarà infatti oggetto di tutela e ogni organizzazione che tratta dati personali dovrà adempiere agli obblighi imposti dal Regolamento.
Il GDPR non è una novità in quanto non fa che incrementare le misure che erano precedentemente già in vigore, infatti il GDPR garantisce una serie di tutele ulteriori per l’utente, come la possibilità di accedere ai dati e richiederne la cancellazione e la modifica e la portabilità.
Per il trattamento dei dati sarà poi necessario che le persone prestino validamente il consenso con un’informativa completa, in cui dovrà essere specificato il periodo di conservazione del dato, cioè il termine entro cui questo dovrà essere cancellato.
Fondamentale sarà poi l’archiviazione dei dati, poiché l’organizzazione dovrà essere sempre in grado di dimostrare di aver ottenuto il consenso.
Una novità normativa dunque, che si rifletterà sull’intero sistema organizzativo, rendendo necessaria l’adozione di nuove misure , tecniche e tecnologiche e ripensando i propri processi interni per garantire una protezione adeguata dei dati. Aspetti chiave del cambiamento per le aziende, la definizione del Data Protection Officer (DPO) e l’introduzione dello “sportello unico”, che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme, poiché le imprese, e le organizzazioni non profit, avranno a che fare con una sola Autorità di Vigilanza, cioè quella del Paese in cui le aziende hanno la sede principale.
Pertanto il (nuovo) Regolamento questa volta non esenta i soggetti non profit in quanto lo stesso si riferisce alla raccolta e alla gestione dei dati indipendentemente dalla loro finalità di utilizzo. Per questo anche le associazioni saranno tenute ad adeguarsi alle misure previste per garantire la protezione dei dati dei propri dipendenti, sostenitori, volontari e di altri stakeholder.
Un aspetto che potrebbe essere particolarmente delicato proprio per il non profit è quello che riguarda la “possibilità per gli utenti di iscrivere al registro delle opposizioni anche le numerazioni fisse non presenti negli elenchi pubblici e quelle di telefonia mobile“. Gli utenti che non vogliono ricevere telefonate per scopi commerciali o di ricerche di mercato possono infatti iscrivere i propri contatti telefonici a questo registro.
Per evitare di incorrere in illeciti trattamenti di dati, è pertanto necessario per tutte le organizzazioni non profit che svolgono attività di fundraising, consultare mensilmente e, comunque, prima di intraprendere ogni campagna promozionale, il Registro delle Opposizioni, tenendo così regolarmente aggiornata e a norma di legge la propria lista di contatti.
Impossibile riuscire a soddisfare tutti i criteri del nuovo Regolamento entro il 25 maggio, se non si è ancora iniziato a riorganizzare i processi interni alla struttura. Esistono però linee prioritarie su cui lavorare in modo da adempiere alla normativa senza rimanerne schiacciati.
Secondo Gabriele Faggioli, dell’Osservatorio Information Security & Privacy del Politecnico di Milano, sono tre i punti fondamentali:
- la revisione della modulistica per il trattamento dati;
- il registro dei trattamenti;
- l’analisi dei rischi e della valutazione di adeguatezza sui trattamenti.
Il registro è molto importante poiché consente una mappatura dei trattamenti, finalizzata anche all’analisi dei rischi e alla valutazione di adeguatezza, entrambi elementi importantissimi. Allo stesso modo la revisione della modulistica rappresenta un altro caposaldo imprescindibile. Rimane poi il tema della costruzione delle procedure, per garantire il rispetto dei diritti degli interessati.
La rivoluzione principale portata dal Regolamento rappresenta il passaggio da un modello di trattamento di tipo “autorizzatorio”, rappresentato dalla normativa previgente contenuta nella direttiva 95/46/Ce ad un modello basato sulla “responsabilizzazione”. L’azienda o l’organizzazione devono infatti poter dimostrare di aver adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione dei dati personali.
Il nuovo Regolamento segue una logica più protettiva nei confronti degli utenti, per cui il consenso dovrà essere molto più chiaro, esplicito e diretto. Le informative non potranno più essere lunghi trattati incomprensibili. Si prospetta dunque un panorama molto diverso.
Alberto Speciale