Mensile per il marketing e la valorizzazione del territorio

Registro dei periodici e dei giornali del tribunale di Taranto n.3/06 e registro della volontaria giurisdizione n.1900/05

La gestione dei dati personali per le associazioni no profit

La normativa è del 2003, ma dal maggio di quest’anno è scaduto il tempo per adeguarsi alla legge e non subire sanzioni

di Gabriella Greco

04/12/2018 Terzo Settore

Valutazione attuale:  / 0
Scarso Ottimo 
Vota
La gestione dei dati personali per le associazioni no profit

Le norme sulla gestione dei dati personali, la cosiddetta “privacy“, hanno avuto un impatto notevole anche sul mondo del no profit già a partire dalla sua istituzione (con il D.LGS. 196/2003 che risale oramai a diciannove anni fa), ma ultimamente se ne è parlato con maggiore insistenza e con qualche preoccupazione in più; cerchiamo di capire cosa sta accadendo e cosa va fatto  nell’immediato.

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta ufficiale europea il regolamento Ue 2016/679 “General Data Protection Regulation”, più noto come Gdpr privacy, che uniforma le regole sulla riservatezza dei propri dati nei paesi europei e concesso tempo per l’adeguamento alle nuove norme sino al 24 maggio 2018; da quella data in poi sono possibili le verifiche e le sanzioni per il mancato adeguamento.

Il regolamento ha rafforzato e meglio definito le nome già esistenti che riguardano i dati riconducibili alle persone fisiche; pertanto ne discende che ogni organizzazione e quindi anche quelle che operano nel mondo no profit, di qualsiasi dimensione sia e qualsiasi sia l’oggetto della sua attività e il numero degli associati,  o  il fatto che abbia dipendenti piuttosto che volontari attivi all’ interno dell’organizzazione, deve attenersi alle norme  dettagliate nel regolamento  e nei successivi decreti legislativi. Infatti, a differenza delle imprese che trattano “normali” dati relativi alle persone fisiche (es. codice fiscale o indirizzo), le organizzazioni non profit hanno l’urgenza di adeguarsi determinata dal fatto che molte di esse trattano dati ancora maggiormente sensibili quali quelli relativi alla salute, agli orientamenti politici, religiosi o filosofici.

Così come definisce l’articolo 4 del Gdpr si deve dunque tutelare il “dato personale” cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, con i dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Esistono, altresì, categorie particolari di dati personali: quelli che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Nel (vecchio) ‘codice privacy’ questi erano definiti ‘dati sensibili’.

Ogni modalità di raccolta dei dati relativi alle persone fisiche si definisce “trattamento”; e quindi verrà così definita qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Chi esercita questa tutela  è definito “titolare”, nel nostro caso è l’organizzazione no profit nella persona del suo rappresentante legale, in genere il presidente che, di conseguenza, viene definito “responsabile del trattamento”; quest’ultimo ruolo può essere anche ricoperto da una persona fisica o giuridica esterna nominata dal Presidente che tratterà i dati personali per conto dell’organizzazione di no profit.

Nell’insieme degli adempimenti che devono essere rispettati per l’attuazione del regolamento uno dei maggiori elementi di attenzione è rappresentato dalla “informazione” già conosciuta come informativa.

L’informazione deve essere fornita al soggetto interessato prima di effettuare la raccolta dei suoi dati; essa  deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice.

Tutti gli organismi no profit hanno l’obbligo di far conoscere agli interessati, ovvero associati, professionisti, consulenti interni ed esterni, volontari, dipendenti come vengono trattati i loro dati personali.

L’informazione deve indicare con precisione:

  • il titolare del trattamento dei dati
  • le finalità del trattamento dei dati personali e i legittimi interessi perseguiti dal titolare
  • gli eventuali destinatari dei dati trattati, nel caso venissero ceduti ad altri enti, e se i dati possono essere trasferiti in paesi extra Ue
  • il periodo di conservazione dei dati
  • i diritti del soggetto interessato
  • i dati di contatto del Rpd-Dpo (figura prevista in casi di particolare complessità di organizzazione e di quantità di dati trattati) a cui rivolgersi

Argomento di grande interesse è rappresentato proprio dai “diritti del soggetto interessato”, citati precedentemente, che sono specificati dall’art. 15 al 22 del Gdpr, ovvero:

diritto di accesso ai dati personali, di rettifica, diritto alla cancellazione («diritto all'oblio»), di limitazione, diritto alla portabilità dei dati, di opposizione, diritto di opposizione al processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.

L’interessato, conoscendo i propri diritti, deve dare il “consenso” al trattamento dei dati; il consenso, in base al nuovo regolamento generale (art. 4 Gdpr), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso interessato esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

In caso di trattamento di dati di minori, occorre acquisire il consenso dai genitori o dagli esercenti la patria potestà se l'interessato ha meno di 16 anni.

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità più idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” necessario per i dati sensibili.

Il titolare (art. 7.1) deve comunque essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Con tali premesse, nel caso in cui un soggetto interessato volesse esercitare il proprio diritto all’accesso ai dati e per tutti i diritti il termine temporale per la risposta è un mese, estendibile fino a 3 mesi in casi di particolare complessità.

Il titolare o il responsabile devono comunque dare un riscontro all’interessato entro un mese dalla  richiesta, anche in caso di diniego.

Per esercitare questi diritti è possibile rivolgersi direttamente al titolare, e quindi nel nostro caso all’organizzazione no profit.

Nel caso in cui venisse meno, o ritenuto non adeguato, il riscontro da parte dell’organizzazione titolare dei dati personali, alla richiesta dell’esercizio dei propri diritti (accesso ai dati personali, aggiornamento, rettifica, opposizione, etc) il soggetto interessato potrà ricorrere direttamente al garante della privacy che interverrà per redimere l’eventuale controversia.

Lascia un commento

Verify Code