GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Il G.D.P.R. nelle organizzazioni no profit


martedì 8 gennaio 2019
Dott. Alessandro Mammoli



Le organizzazioni no profit, così come qualunque altra tipologia di società, sono tenute all’ottemperanza degli obblighi previsti dal Regolamento UE 2016/679, perché devono essere in grado di spiegare come e quali dati personali elaborano, e con quali soggetti terzi li condividono.

La formazione dei volontari
Le organizzazioni no profit devono avere un piano per assicurare che i propri lavoratori, volontari e rappresentanti non contattino sostenitori o donatori dopo che questi ultimi abbiano revocato il consenso al trattamento dei loro dati per finalità mutualistiche, senza scopi di lucro. Poiché le organizzazioni no profit effettuano i loro trattamenti avvalendosi del lavoro dei volontari, diventa essenziale sviluppare un piano per educarli e formarli nella conformità alla protezione dei dati, ottemperando all’obbligo di formazione incaricati sancito dall’art. 29 del GDPR. Tale articolo prevede che il Responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Per approfondire >>  L’Obbligo di Formazione Incaricati: cosa prevede l'Art. 29 del GDPR

Il Data Breach nella no profit
Oltre a seguire le regole per il consenso, le organizzazioni no profit devono anche dotarsi di un piano di Disaster Recovery, qualora avvenga un furto o uno smarrimento di dati personali (Data Breach). Le conseguenze della violazione varieranno a seconda di:

  • tipo di violazione e natura dei dati violati,
  • la facilità con cui potrebbero essere identificati gli interessati,
  • la gravità delle conseguenze sugli individui in termini di potenziali danni, speciali caratteristiche e numero degli individui interessati e particolari caratteristiche del Titolare.

Accertato il livello di rischio, il titolare della no profit sarà in grado di determinare la necessità o meno di eseguire la notifica all’autorità e la comunicazione agli individui interessati ai sensi dell’art.33. Tale articolo impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare della no profit acquisisce consapevolezza dell’avvenuta violazione.

Il DPO nella no profit
Le organizzazioni no profit più grandi possono nominare un D.P.O. (Data Protection Officer) che si occupi di fare da front-office tra l’organizzazione e il mondo della privacy. Nello specifico si occuperà di adempiere a tutte le richieste di correzione, portabilità, modifica, cancellazione o diritto all’oblio dei dati, di redigere e inviare tutte le richieste e le comunicazioni al Garante (Data Breach, diritto all’oblio, interpelli, ecc…), di redigere con cadenza annuale una relazione di attività sulla privacy, di progettare assieme le infrastrutture necessarie per i nuovi trattamenti (Privacy by design e Privacy by default), di vigilare sempre affinché le misure di sicurezza siano sempre attuali e proporzionate ai dati trattati, di verificare che tutti gli adempimenti normativi siano posti in essere. Le organizzazioni no profit e gli enti di beneficenza con budget limitati potrebbero propendere per una consultazione una tantum, oppure cercare un individuo qualificato in protezione dei dati che potrebbe essere disposto a prestare servizio nel comitato consultivo dell'organizzazione stessa.




CONDIVIDI QUESTA PAGINA!