Welfare
GDPR e non profit: tutto quello che c’è da sapere
A pochi giorni dall’entrata in vigore del nuovo regolamento sulla protezione dei dati, una breve guida ai cambiamenti principali e alle misure prioritarie da adottare per adeguarsi. Tutte le aziende e le organizzazioni, anche non profit, saranno infatti soggette alla normativa
Manca pochissimo all’entrata in vigore del GDPR. Dal prossimo 25 maggio, infatti tutti gli Stati UE faranno riferimento ad un unico impianto legislativo in materia di privacy: il Regolamento UE 2016/679, noto come General Data Protection Regulation (GDPR). Un unico ombrello normativo reso necessario dall’innovazione tecnologica che vede proprio i dati e il loro trattamento come uno degli aspetti più delicati.
Cosa cambia per le aziende e le organizzazioni
Tutte le aziende e le organizzazioni, anche non profit, saranno soggette al Regolamento, indipendentemente dalla tipologia, dal fatturato e dal numero dei dipendenti.
Ogni dato riconducibile ad una persona fisica sarà infatti oggetto di tutela e ogni organizzazione che tratta dati personali dovrà adempiere agli obblighi imposti dal regolamento.
«Ciò significa che anche le aziende di piccola dimensione, impegnate magari in settori più tradizionali dovranno comunque adeguarsi al GDPR», spiega Andrea Giannangelo, CEO di Iubenda, la startup specializzata nella creazione di privacy policy, oggi attiva in circa 100 Paesi. «Anche se il core business di un’azienda non riguarda il trattamento dei dati personali infatti, tutte le imprese si trovano comunque a trattare i dati dei propri dipendente e fornitori».
Secondo Giannangelo, in realtà il GDPR non fa che rafforzare misure che erano già in vigore, ad essere avvantaggiate nell’adozione della normativa, per gli esperti, saranno infatti le organizzazioni che avevano già sviluppato sistemi virtuosi nella gestione dei dati. «Il GDPR garantisce una serie di tutele ulteriori per l’utente», continua Giannangelo, «come la possibilità di accedere ai dati e richiederne la cancellazione e la modifica e la portabilità». Nel caso in cui decidessimo di cambiare il fornitore di posta elettronica, ad esempio, il vecchio fornitore dovrà facilitare il passaggio, cedendo i dati che sono stati raccolti su di noi.
Per il trattamento dei dati sarà poi necessario che le persone prestino validamente il consenso con un’informativa completa, in cui dovrà essere specificato il periodo di conservazione del dato, cioè il termine entro cui questo dovrà essere cancellato.
Fondamentale sarà poi l’archiviazione dei dati, poiché l’organizzazione dovrà essere sempre in grado di dimostrare di aver ottenuto il consenso.
Una novità normativa dunque, che si rifletterà sull’intero sistema organizzativo, rendendo necessaria l’adozione di nuove misure , tecniche e tecnologiche e ripensando i propri processi interni per garantire una protezione adeguata dei dati. Aspetti chiave del cambiamento per le aziende, la definizione del Data Protection Officer e l’introduzione dello “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme, poiché le imprese avranno a che fare con una sola Autorità di Vigilanza, cioè quella del Paese in cui le aziende hanno la sede principale. Un risparmio calcolato intorno a 2,3 miliardi di euro a livello europeo.
GDPR e non profit
Non sono dunque esenti dal nuovo regolamento nemmeno i soggetti non profit, il GDPR infatti si riferisce alla raccolta e alla gestione dei dati indipendentemente dalla loro finalità di utilizzo. Per questo anche ong e associazioni saranno tenute ad adeguarsi alle misure previste per garantire la protezione dei dati dei propri dipendenti, sostenitori, volontari e di altri stakeholder.
Sul blog di Elena Zanella, l’avvocato Chiara Rossana Agostini ha identificato un aspetto della nuova norma che potrebbe essere particolarmente delicato proprio per il non profit: si tratta della «possibilità per gli utenti di iscrivere al registro delle opposizioni anche le numerazioni fisse non presenti negli elenchi pubblici e quelle di telefonia mobile». Gli utenti che non vogliono ricevere telefonate per scopi commerciali o di ricerche di mercato possono infatti iscrivere i propri contatti telefonici a questo registro.
«Parimenti rilevante è la disposizione per cui, con l’iscrizione al suddetto registro, il legislatore ha precisato che devono intendersi revocati tutti i consensi al trattamento dei dati personali espressi in precedenza, fatti salvi solamente “i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”», scrive Agostini. «Per evitare di incorrere in illeciti trattamenti di dati, è pertanto necessario per tutte le organizzazioni nonprofit che svolgono attività di fundraising, consultare mensilmente e, comunque, prima di intraprendere ogni campagna promozionale, il Registro delle Opposizioni, tenendo così regolarmente aggiornata – e lecita – la propria lista di contatti».
Le priorità da seguire
Impossibile riuscire a soddisfare tutti i criteri del nuovo Regolamento entro il 25 maggio, se non si è ancora iniziato a riorganizzare i processi interni alla struttura. Esistono però linee prioritarie su cui lavorare in modo da adempiere alla normativa senza rimanerne schiacciati.
Secondo Gabriele Faggioli, dell’Osservatorio Information Security & Privacy del Politecnico di Milano, sono tre i punti fondamentali:
- la revisione della modulistica per il trattamento dati
- il registro dei trattamenti
- l’analisi dei rischi e della valutazione di adeguatezza sui trattamenti
«Chi non ha ancora iniziato a lavorare su questi temi deve puntare sulle cose veramente fondamentali», spiega Faggioli, «a nostro avviso tra queste vi è il registro è molto importante, poiché consente una mappatura dei trattamenti, finalizzata anche all’analisi dei rischi e alla valutazione di adeguatezza, entrambi elementi importantissimi. Allo stesso modo la revisione della modulistica rappresenta un altro caposaldo imprescindibile. Rimane poi il tema della costruzione delle procedure, per garantire il rispetto dei diritti degli interessati».
Cosa cambia per gli utenti
Più diritti e maggiori garanzie per gli utenti. La rivoluzione principale portata dal Regolamento rappresenta il passaggio da un modello di trattamento di tipo “autorizzatorio”, rappresentato dalla normativa previgente contenuta nella direttiva 95/46/Ce ad un modello basato sull’ “accountability”, ovvero sulla responsabilizzazione. L’azienda o l’organizzazione devono infatti poter dimostrare di aver adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione dei dati personali.
«Il nuovo Regolamento segue una logica più protettiva nei confronti degli utenti, per cui il consenso dovrà essere molto più chiaro», spiega Dino Pedreschi, professore di informatica all’Università di Pisa ed esperto di Big Data e Privacy. «In base a questo principio il consenso dovrà essere esplicito e diretto. Le informative non potranno più essere lunghi trattati incomprensibili». Si prospetta dunque un panorama molto diverso. «Secondo la nuova normativa il silenzio di Facebook dopo il breach nello scandalo Cambridge Analytica sarebbe punibile, perché un’infrazione nel trattamento dei dati deve essete denunciata entro 72 ore. Fino ad oggi ciò non esisteva, nel caso Cambridge Analytica in realtà non vi era nessuna norma che obbligava Facebook a notificare il breach. Dal 25 maggio anche il silenzio sarebbe un crimine punito con delle sanzioni pesanti».
Cosa fa VITA?
Da 30 anni VITA è la testata di riferimento dell’innovazione sociale, dell’attivismo civico e del Terzo settore. Siamo un’impresa sociale senza scopo di lucro: raccontiamo storie, promuoviamo campagne, interpelliamo le imprese, la politica e le istituzioni per promuovere i valori dell’interesse generale e del bene comune. Se riusciamo a farlo è grazie a chi decide di sostenerci.