Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo in materia di Protezione dei Dati Personali (2016/679) (in breve “GDPR”). Il Regolamento si applica anche alle organizzazioni di volontariato (ODV), che sono chiamate ad adeguare il loro sistema privacy e le misure di protezione dei dati alle novità introdotte dal Regolamento.
Quali documenti e informazioni devono essere prodotti secondo il Regolamento Generale in materia di dati personali?
Il Regolamento ritiene necessaria la presenza, presso ogni titolare del trattamento, di un documento ove rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che lo riguardano. Tale documento viene denominato Registro dei trattamenti dei dati ed è riportato all’art.30 del GDPR.
Il §5 dell’art.30 sancisce l’obbligatorietà del Registro delle Attività di Trattamento per tutte le grandi imprese, escludendo quindi quelle con meno di 250 dipendenti. Resta fermo che se l’impresa con meno di 250 dipendenti tratti in maniera continuativa particolari categorie di dati personali di cui all’art. 9 § 1, ossia i dati sensibili e quelli biometrici, e quelli relativi a condanne penali e reati di cui all’art. 10, ossia i dati giudiziari, il Registro delle Attività di Trattamento deve essere elaborato.
Permane l’obbligo dell’informativa, quale strumento fondamentale per la raccolta e la gestione dei dati personali, che serve a spiegare all’interessato come un’organizzazione elabora, utilizza e protegge le informazioni personali che raccoglie.
I contenuti da inserire nella nuova informativa sono molti di più di quelli previsti dalla precedente normativa (si veda art.13 del GDPR). Da ricordare che una buona informativa fa accrescere la fiducia dell’interessato ed agevola l’ottenimento del consenso. Il consenso viene a rappresentare una manifestazione di volontà con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art.4 GDPR).
In cosa si differenzia, nella sostanza, la vecchia normativa sulla privacy dalla nuova?
La differenza sostanziale è che la gestione dei dati personali non è più solo un adempimento, ma diventa un processo che incide su tutta l’organizzazione, da svolgersi in una ottica continua di miglioramento.
Si responsabilizza l’organizzazione e gli si dà la possibilità di adeguarsi a seconda della sua specificità. Si chiede all’organizzazione di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
A chi si applica il Regolamento Generale in materia di dati personali (GDPR)?
Si applica a tutti quei soggetti (anche extraeuropei) – profit e non profit, pubblici e privati – che sono chiamati a trattare (in maniera automatizzata o meno) i dati relativi a persone che “si trovano” nell’Unione: si ritiene che “trovarsi” si riferisca a qualsiasi situazione (reale o virtuale) che colleghi la persona fisica al territorio.
Esistono ancora i dati sensibili?
Nella nuova normativa si è abbandonato il termine ‘sensibili’ e si parla di (art.9 GDPR) “categorie particolari di dati personali”, definendoli in maniera molto simile a quanto avveniva nel vecchio ordinamento, ma esplicitando due nuove classi di dati: biometrici e genetici.
‘Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona’.
Cosa si intende per dato personale?
Il Regolamento UE 679/2016 lo definisce, all’art.4 come ‘Qualsiasi informazione riguardante una persona fisica identificata (o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale’.
La definizione viene estesa a tutto ciò che può condurre all’identificazione della persona. Definizione elastica che tiene conto dell’evoluzione tecnologica.
Quale disciplina normativa si applica attualmente in tema privacy?
La normativa di riferimento è quella dettata dal Regolamento Generale in materia di dati personali, noto come GDPR (General Data Protection Regulation) del 27.04.16, n.679, che si applica dal 25 maggio 2018
Si presenta come testo unico, senza necessità di leggi di recepimento nazionali, valido in tutti i paesi membri dell’Unione Europea.
Per semplificare l’applicazione del Regolamento, il legislatore italiano ha deciso di non abrogare totalmente il decreto legislativo 196 del 2003, noto come Codice Privacy, ma lo ha armonizzato al contenuto del Gdpr con il D.lgs. 101/2018 prevedendone una abrogazione parziale (è attualmente composto da solo 27 articoli).
Il CeSVoP può supportarmi nell’adeguamento alle direttive del GDPR?
Il CeSVoP supporta gratuitamente tutte le associazioni di volontariato e gli enti di terzo settore in tutte le fasi di adeguamento delle OdV al GDPR. Richiedi subito una consulenza cliccando sul bottone verde sottostante.