LE PAROLE DEL NON PROFIT/La fondazione sanitaria riscrive le procedure sulla privacy
Tra i vari adempimenti a cui gli enti del Terzo settore sono chiamati quest’anno ci sono anche le nuove regole sulla privacy. Dal prossimo 25 maggio, infatti, diventa applicabile in tutti gli Stati membri il Regolamento europeo generale sulla protezione dei dati personali (regolamento Ue 2016/679, noto come Gdpr) che disciplina il trattamento e la libera circolazione dei dati personali. La normativa interessa tutte le organizzazioni che raccolgono informazioni relative alla persona fisica, a prescindere dal concreto utilizzo del dato e dalla tipologia, dimensioni e finalità del titolare del trattamento. Coinvolti, quindi, anche gli enti non profit; anzi, il tipo di informazioni trattate (quasi sempre quelle più sensibili, legate alla salute, agli orientamenti religiosi, politici o filosofici della persona), da un lato e la scarsità di mezzi tecnico-organizzativi di cui normalmente dispongono, dall’altro, fanno di questi ultimi i soggetti maggiormente colpiti dalle nuove disposizioni, che per primi dovranno mettersi in regola per evitare pesanti sanzioni. Non a caso, si tratta di enti che spesso lavorano a stretto contatto con le pubbliche amministrazioni, le quali, è ragionevole attendersi, inizieranno a porre il rispetto del Gdpr tra i requisiti necessari per ottenere finanziamenti, stipulare convenzioni o semplicemente intrattenere un rapporto di collaborazione.
Vediamo quindi quali sono le regole da seguire. Si dia il caso di una fondazione che fornisce assistenza socio-sanitaria. In primo luogo, l’ente titolare del trattamento sarà chiamato a valutare il tipo di dati e le modalità con cui sono raccolti, nonché le finalità, i mezzi e i possibili rischi del trattamento. Il tutto dovrà essere documentato in un apposito registro, tenuto in forma cartacea o elettronica, da esibire su richiesta al Garante della privacy in caso di controlli (articolo 30). Laddove l’ente si serva di un soggetto diverso per l’elaborazione dei dati (responsabile del trattamento), poi, sarà necessario definire i reciproci rapporti con un apposito accordo contrattuale (articolo 28). Tale soggetto deve essere dotato di risorse tecniche adeguate per garantire il pieno rispetto della nuova normativa e la tutela dei diritti dell’interessato ed è personalmente responsabile per i danni eventualmente causati a terzi dal trattamento (articolo 82).
La fondazione in questione, inoltre, gestendo dati particolarmente sensibili (quali quelli attinenti alla salute della persona) dovrà designare anche un responsabile della protezione dei dati (il cosiddetto Dpo), incaricato di verificare l’adeguatezza dei sistemi di protezione adottati ed assicurare la corretta gestione dei dati (articolo 37). Si tratta di una figura professionale altamente specializzata, indipendente e autonoma rispetto al titolare, che specialmente in settori delicati come quello della sanità dovrebbe avere competenze specifiche anche sui tipi di trattamento posti dal titolare.
Sul piano della forma, infine, potrebbe essere necessario rivedere i moduli per la raccolta del consenso. Per consentire all’interessato di prestare un consenso informato, la modulistica deve utilizzare caratteri ben visibili e spiegare in modo semplice, chiaro e trasparente le finalità e le modalità del trattamento. A tal fine, consigliabile può essere l’invio di una ricevuta di consenso all’interessato, per assicurargli una maggiore consapevolezza sul contenuto di quanto dallo stesso precedentemente autorizzato.
