GDPR: le tre priorità per il non profit
Intervista all’avvocato Stefano Orlandi esperto di data protection: «l’Italia è in ritardo nell’adeguamento normativo ma il garante non ha stabilito un "grace period" per l'applicazione». Ecco le tre cose da fare subito per evitare il rischio di sanzioni
È scattata l’ora X per il GDPR, il Regolamento UE 2016/679, noto come General Data Protection Regulation (GDPR), il nuovo impianto legislativo in materia di privacy che dal 25 maggio diventa obbligatorio in tutti gli Stati UE. «L’Italia è in grande ritardo, ma è importante correre ai ripari e dimostrare che si stanno prendendo le misure per adeguarsi, così da non incorrere in sanzioni», spiega l’avvocato Stefano Orlandi esperto di data protection. Sarà lui a tenere il ciclo di incontri organizzati CSVnet per informare Centri di servizio e associazioni su sulle prassi da seguire e gli adempimenti necessari.
Avvocato, cosa cambia da oggi per le associazioni non profit?
In realtà, dal punto vista macroscopico cambiano per tutti le stesse cose, dalle multinazionali alla pubblica amministrazione. La caratteristica fondamentale riguarda l’accountability ovvero, il principio di responsabilizzazione. Con la nuova norma cioè si sancisce che di fronte al mondo in continua evoluzione tecnologica non è più pensabile che le regole vengano aggiornate costantemente, per questo si chiede a tutti i soggetti, compresi quelli del terzo settore di analizzare i dati che si gestiscono, il contesto e di applicare i principi della nuova norma. In realtà si tratta di un impianto molto più libero e discrezionale. Si fa leva sulla responsabilità del titolare che deve poter dimostrare di aver capito i principi, valutato il contesto e documentato le proprie attività in merito ai trattamenti.
A che punto è il terzo settore nell’applicazione della normativa?
L’impressione generale è che, nonostante alcuni segnali incoraggianti, la maggior parte delle organizzazioni, appartengano queste al pubblico, al privato o al non profit, siano comunque in ritardo. C’è un dato positivo per cui al garante nazionale sono stati comunicati gli incarichi di 11mila DPO, (il data protection officer la figura interna all’organizzazione o consulente responsabile dell’osservazione, la valutazione e la gestione del trattamento dei dati personali n.d.r.), si calcola però che perché la compliance raggiunga tutti i livelli si dovrà attendere almeno un altro anno e mezzo. D’altronde il primo a tardare è stato proprio lo stato italiano con il decreto delegato.
Proprio per questi ritardi, è possibile che nei primi mesi vi sia una flessibilità nell’applicazione delle sanzioni?
È importante fare chiarezza su questo. Anche se in Italia si registra un ritardo, dal 25 maggio, da un punto di vista formale, è sanzionabile chi non è conforme. Bisogna ricordare che, a differenza di quanto è accaduto in Francia, ad esempio, il garante italiano non ha fatto atti o provvedimenti in cui viene stabilito un “grace period”, cioè un periodo di grazia in cui sono sospese le sanzioni. Ciò che ci si aspetta è un breve periodo si prudente applicazione. Non bisogna però mandare in giro il messaggio sbagliato: il GDPR dal 25 maggio diventa obbligatorio.
Quali sono le cose che le organizzazioni devono fare subito per adeguarsi?
Il garante un anno fa aveva dato delle indicazioni ai soggetti del pubblico che potrebbero essere applicate anche agli enti del terzo settore. Prima di tutto la creazione di un registro dei trattamenti, in secondo luogo la nomina di un Data Protection Officer (DPO) e infine la stesura della procedura relativa all’eventualità di data breach, cioè di violazione dei dati. È fondamentale iniziare da una mappatura dei trattamenti per riuscire a redigere le procedure relative alla sicurezza e le misure da adottare in caso queste vengano violate. Inoltre è consigliabile valutare la nomina di un DPO che è una figura fortemente incentivata dall’autorità di controllo ma non obbligatoria per tutti, solo per i soggetti pubblici e per chi fa attività di gestione e monitoraggio di dati sensibili su larga scala. Questo è un tema critico poiché diversi enti del terzo settore trattano dati sensibili, le organizzazioni che offrono servizi di cura ad esempio, o le cooperative che lavorano con persone svantaggiate. Bisogna poi tenere in considerazione che è possibile che con il decreto delegato tra i soggetti pubblici potrebbero essere annoverati anche le organizzazioni che svolgono funzioni di carattere e servizio pubblico, per questo si deve decidere se nominare o meno un DPO e, nel caso si decida di non farlo, documentare questa scelta.
Quali sono le competenze chiave che un DPO deve avere?
Deve essere un esperto in materia di dati con competenze giuridiche e tecnologiche, può essere sia interno che esterno all’azienda ma deve essere una persona competenze, perché svolgerà il ruolo di facilitatore nei rapporti con il garante e i suoi collaboratori.
Che consiglio darebbe alle organizzazioni devono adeguarsi?
Come ho detto è chiaro che via sia un ritardo nell’adeguamento, ma bisogna dimostrare che si è ragionato sul regolamento e sulle norme di applicazione. Questo è un regolamento che sburocratizza. Consiglierei di partire subito da una mappatura dei trattamenti per redigere il registro e privilegiare sempre la sostanza alla forma, il regolamento va in questa direzione.
Di seguito gli incontri organizzati da CSVnet (qui la locandina con tutti i dettagli) in programma dall’8 giugno all’11 luglio in 6 città:
Fonte: Vita.it