L’argomento di questi giorni, oltre alla formazione del nuovo Governo, è senza dubbio il Regolamento europeo 2016/679 per il trattamento dei dati personali, conosciuto anche come GDPR (General Data Protection Regulation).

Un cambiamento non da poco, se pensiamo che fino a ieri il Codice della Privacy 2003/196 era molto generico e lasciava spazio all’interpretazione. Ora la storia cambia ed entrano in gioco limiti e restrizioni a tutela dell’utente. Allo scoccare della mezzanotte del 25 maggio 2018, tutte le aziende si devono adeguare alla nuova normativa europea. E gli altri?

Dopo tutto, non solo aziende pubbliche e private trattano dati personali. Anche le associazioni di volontariato che forniscono assistenza sanitaria e intervengono in emergenza devono adeguarsi alla normativa.

Ma quindi, che cosa cambia per le Onlus?

Il GDPR si applica a tutte le organizzazioni con finalità di lucro o no profit che trattano dati personali. L’applicazione vede due ambiti:

• Quello materiale: che riguarda il trattamento dei dati
• Quello territoriale: relativo al luogo di effettuazione trattamento

Di conseguenza, se si è stabiliti in un Paese dell’Unione Europea non si scampa! Nemmeno un’associazione no profit. Infatti, il GDPR non prevede nessuna esenzione per il terzo settore o no profit che dir si voglia. La normativa europea sui dati personali parla di “organizzazioni” votate al profitto o a fini sociali, non importa. Possiamo quindi dire che il GDPR colpisce soprattutto le realtà del volontariato, primo perché, a differenza delle imprese, queste trattano quasi esclusivamente dati di persone fisiche, secondo perché queste organizzazioni hanno bisogno di lavorare con enti locali e amministrazioni pubbliche e presto queste realtà inizieranno a porre l’aderenza al GDPR fra i requisiti necessari per ogni finanziamento o convenzione o collaborazione, e terzo perché molte realtà no profit trattano i dati più sensibili legati alla salute, agli orientamenti politici o religiosi che sono particolarmente protetti dal Regolamenti europeo.

Ma cosa impone il GDPR per le associazioni coinvolte in emergenza e sanità?

Brevemente, la nuova normativa sul trattamento dei dati personali impone:

1. Accountability: responsabilizzazione di coloro che gestiscono e che ricevono i dati personali di una persona fisica;
2. Privacy by design: rispetto dei principi di trattamento;
3. Privacy by default: che assicura che i dati vengano trattati con le misure tecniche e organizzative adeguate per essere limitati alla specifica finalità del trattamento;
4. L’analisi dei rischi
5. Registri delle attività di trattamento: fare il resoconto delle attività in materia di protezione e circolazione dei dati personali effettuate, al fine di dimostrare la conformità al GDPR.

Ma la gestione delle informazioni sanitarie viene esplicitata nell’articolo 9 – Trattamento di categorie particolari di dati personali – all’interno del quale il trattamento dei dati diviene necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale. Ovviamente tutti coloro che controllano e che hanno per le mani dei dati sensibili relativi alla salute dei pazienti, devono trattarli con la massima attenzione possibile in rispetto della tutela del paziente.

Quindi, cosa accadrà per le ONLUS in generale?

Di certo l’adesione al GDPR va presa sul serio, e in realtà la nuova normativa non impone tanto di abbandonare certe prassi e intraprenderne di altre, quanto di definire e valutare il trattamento dei dati personali di cui l’organizzazione dispone, il modo in cui li ha acquisiti, il trattamento al quale li sottopone, i possibili rischi che questi dati corrono. Insomma si tratta soprattutto di documentare tutto.

Certamente tutte le interazione fra l’organizzazione no profit e il pubblico andranno ritoccati e andranno rivisti gli accordi fra l’organizzazione e i Responsabili del trattamento. Occorrerà anche della formazione per il personale, all’interno dell’ONLUS che si occupa di ricevere e conservare dati personali. Può essere anche che qualche dato debba essere cancellato e qualche consenso richiesto di nuovo.