GDPR e no profit, linee guida per un corretto trattamento dei dati personali

L’entrata in vigore del GDPR ha portato anche per le società no profit, così come per le altre corporate, una ventata di adempimenti.

Una realtà no profit, lo ricordiamo, è un’azienda vera e propria che però ha, come finalità, quella di creare un utile sociale sotto forma di beni o più spesso di servizi.

Gli adempimenti per la compliance al GDPR possono quindi sembrare lacci per chi è focalizzato spesso sull’integrare i servizi forniti dallo Stato alle persone, soprattutto quando queste sono più fragili.

In realtà, una delle caratteristiche per cui, comunemente, si conoscono le realtà senza fine di lucro, è proprio quella di avere una forte attività di raccolta fondi, indispensabile per svolgere le attività. Ciò implica un rapporto molto stretto con i propri sostenitori basato su tre elementi fondamentali che sono anche alla base del GDPR: trasparenza, consapevolezza e fiducia.

GDPR e no profit: la trasparenza con i propri sostenitori

Proprio la trasparenza è nelle “finalità” di due degli adempimenti privacy che la normativa richiede: l’informativa e la gestione del consenso.

Per l’informativa si richiede di descrivere chiaramente:

• il titolare del trattamento, ovvero l’organizzazione che decide come e perché elaborare i dati ricevuti. In particolare, vanno evidenziati identità e riferimenti per essere contattati (e-mail, telefono, indirizzo fisico). Inoltre, per coloro che hanno l’obbligo di averlo, si devono indicare nome e riferimenti di contatto del DPO (Responsabile della Protezione dei dati);
• tutti i trattamenti dei dati personali effettuati;
• le finalità che si intendono perseguire con ciascun trattamento;
• le categorie di destinatari cui vengono inviati i dati;
• la base legale su cui si fondano i trattamenti;
• le modalità con cui si raccolgono i dati personali trattati (e se ne sono ricevuti da altre organizzazioni o, comunque, in modalità indiretta spiegandone il modo);
• i diritti che l’utente/sostenitore ha (diritto di accedere, modificare, cancellare, limitare il trattamento e opporvisi, trasferire i dati ad altro titolare);
• se si condividono dati con altre organizzazioni, descrivendone tipologia di operatori e il motivo per cui lo si fa;
• se si trasferiscono dati verso paesi extra UE, descrivendo le misure di sicurezza adottate e le garanzie di sicurezza messe in atto;
• i tempi di conservazione (espressi in misura assoluta o come criteri utilizzati per determinarli);
• le modalità di conservazione dei dati;
• l’eventuale trattamento automatizzato (svolto, dunque, senza alcun intervento umano;
• l’eventuale profilazione che si fa degli utenti/sostenitori.

È poi importante spiegare quali dati personali dei propri clienti o sostenitori vengono raccolti e perché, oltre ai trattamenti svolti che spesso coincidono con gli scopi stessi dell’agire della no profit.

Tale descrizione è a tutti gli effetti un mezzo che la realtà no-profit ha per far conoscere le proprie attività. Dunque, oltre a rispondere ad un obbligo normativo, l’essere trasparenti e dettagliati diventa uno strumento di “marketing” molto efficace.

Il consenso è l’altro cardine della trasparenza richiesta. Per ogni trattamento dei dati che si svolge si deve:

• acquisire il consenso dopo aver fornito un’informativa chiara ed esaustiva;
• permettere al sostenitore/utente di compiere la scelta di acconsentire a uno o più trattamenti nei moduli cartacei o digitali che si utilizzano. Ciò significa avere nessuna casella deve essere già segnata con il flag nei moduli cartacei o digitali utilizzati per richiedere il consenso. È obbligatorio per legge ma è anche e soprattutto essenziale per essere realmente trasparenti;
• registrare l’avvenuto consenso in modo da poterlo esibire in caso di controlli;
• permettere la revoca (e registrarla tenendone conto nel prosieguo qualora avvenga).

GDPR e no profit: consapevolezza del trattamento dati

Molto importante, poi, sviluppare sia verso l’esterno sia all’interno dell’organizzazione una piena consapevolezza in materia di protezione dei dati personali.

È infatti essenziale che:

1. gli operatori della realtà no-profit siano coscienti:
   di tutti i trattamenti che si svolgono al suo interno;
   dell’importanza delle loro azioni e delle possibili conseguenze per sé e per l’organizzazione di eventuali errori e/o omissioni;
2. gli utenti e i sostenitori sappiano come e perché vengono richiesti e trattati i loro dati personali. Questo permette di sviluppare il terzo elemento di cui ho parlato, la fiducia (che non nasce se non dalla piena conoscenza dell’agire dell’altro).

Nell’ottica di incrementare la consapevolezza vanno visti tre obblighi previsti dal GDPR: registro dei trattamenti, formazione, nomina del Responsabile della Protezione dei Dati (RPD, in inglese: DPO, Data Protection Officer).

Il registro dei trattamenti

È il cuore di tutti gli adempimenti. In esso vanno descritti tutti i trattamenti effettuati dettagliando:

• nome e dati di contatto dell’organizzazione (in quanto titolare), eventuali contitolari e DPO;
• le finalità perseguite;
• la descrizione delle categorie di dati trattati e dei loro proprietari (chiamati interessati);
• la descrizione delle categorie di destinatari a cui saranno comunicati (inclusi paesi extra UE e altre organizzazioni);
• l’identità dei paesi terzi e delle organizzazioni internazionali verso cui i dati si trasferiscono con le misure di garanzia poste in atto;
• i termini per la cancellazione in valore assoluto (es: 10 anni) o come criteri usati per cancellarli;
• una descrizione delle misure tecniche e organizzative messe in atto per elaborare i dati con la massima sicurezza.

Esso serve dunque a:

• fornire piena conoscenza ai collaboratori/dipendenti dell’organizzazione su tutti i processi su dati propri e di terzi in atto;
• trasferire informazioni agli utenti/sostenitori (attraverso le informative o in caso di richieste di accesso);
• svolgere un altro adempimento richiesto: la valutazione di impatto (DPIA) qualora ci possano essere rischi per i diritti e le libertà delle persone a cui si riferiscono i dati. In particolare, per quanto riguarda le no-profit, trattamenti di pochi dati di un numero significativo di persone.

La formazione

Elemento imprescindibile per far acquisire ad operatori e collaboratori dell’organizzazione consapevolezza su:

• norme di legge da rispettare;
• trattamenti effettuati;
• tecnologie utilizzate e modalità d’uso più opportune. Spesso ci si trova davanti a realtà nelle quali la volontà di essere utili agli altri si accompagna ad una limitata dimestichezza e conoscenza con i supporti informatici. Ecco che un adeguato accompagnamento riesce a sviluppare le capacità necessarie all’uso corretto dei dispositivi utilizzati (cloud incluso);
• rischi e conseguenze di eventuali errori/omissioni commesse. Se la conoscenza della norma è acquisita capita di non avere cognizione esatta sulle sanzioni irrorate dall’Autorità in caso di inadempienza. Considerando che, in questo tipo di realtà i mezzi economici sono spesso limitati ed è molto forte il legame con i propri finanziatori/sostenitori, importi utilizzati per rimediare a errori di operatori vanno ad avere un impatto significativo sull’operatività ed, eventualmente, sulla credibilità (e quindi capacità di avere nuovi finanziamenti). Massima attenzione deve essere posta nel far crescere in ogni collaboratore la consapevolezza della necessità di operare correttamente per evitare di dover sottrarre fondi all’operatività dell’organizzazione.

Il responsabile della protezione dei dati

L’RPD (in inglese DPO, Data Protection Officer) è, infine, il cardine della consapevolezza dell’agire dell’organizzazione. Il legislatore lo ha visto come “avvocato delle persone cui i dati si riferiscono” e interfaccia dell’Autorità presso l’organizzazione. Il DPO è colui a cui le persone si possono rivolgere per chiedere:

• se e quali dei loro dati vengono trattati;
• se c’è profilazione in atto;
• i tempi di conservazione dei dati;
• di limitare il trattamento;
• di cessare le elaborazioni in atto.

È lui, dunque, l’interfaccia verso l’esterno della realtà no-profit per quanto attiene all’interlocuzione sull’agire dell’organizzazione. Se poi si considera che spesso, se non sempre, la realtà si trova a:

• trattare o un gran numero di dati di poche persone o pochi dati di tanti individui (concetto di “larga scala”),
• elaborare dati sensibili,

entrambi casi nei quali vi è l’obbligo di avere questa figura al proprio interno, si comprende la necessità di una persona che svolga questo ruolo:

• per ottemperare all’obbligo di legge;
• per avere qualcuno che conosce le norme e che può aiutare gli interni ad operare correttamente (ed evitare sanzioni) (quindi incrementare la consapevolezza all’interno);
• per avere il punto di riferimento per coloro a cui i dati si riferiscono (consapevolezza degli esterni).

Tutto si basa sulla fiducia

Ultimo elemento essenziale su cui si fonda tutto il sistema, ma non per questo meno importante, è la fiducia.

Su di essa si basa il rapporto tra organizzazione e propri sostenitori. Si alimenta con i due elementi precedentemente citati e da essi dipende.