Dati personali, dati sensibili e trattamenti dei dati secondo il GDPR

Dati personali e dati sensibili: capisci quali sono le differenze e scopri come adeguare nel modo corretto la tua organizzazione non profit alle particolari richieste del GDPR.

Il GDPR protegge i dati delle persone fisiche, non di quelle giuridiche. Molte imprese lavorano solo con altre persone giuridiche, ma il terzo settore vive di dati personali, spesso relativi ad aspetti intimi delle persone.

Per Dati personali si intendono quelli anagrafici ovviamente, ma anche le immagini, la posizione nel tempo o nello spazio, l’accesso a un sito. Alcuni dati: quelli relativi alla salute, all’etnia, alle convinzioni politiche o religiose o al rapporto con la giustizia sono particolarmente ‘sensibili’.

Il primo compito di una organizzazione che tratta dati personali (ed è quindi ‘Titolare’) consiste nell’identificare quali dati sensibili possiede e come li tratta.

‘Trattamento di dati personali’ è il concetto base del GDPR. Si tratta dell’insieme di procedure, regole, archivi cartacei e informatici attraverso i quali un certo insieme di dati è raccolto, utilizzato, archiviato ed eventualmente trasmesso a terzi.

“Molte imprese lavorano solo con altre persone giuridiche, ma il terzo settore vive di dati personali, spesso relativi ad aspetti intimi delle persone”.

Identificare i Trattamenti non è difficile. Occorre tener presente che lo stesso insieme di dati può essere oggetto di più Trattamenti.

Durante i corsi che tengo sul GDPR, invito alcuni dei presenti ad alzarsi e raccontare la realtà della loro organizzazione. All’inizio sono io a identificare i Trattamenti, ma dopo pochi minuti le persone stesse sono in grado di farlo.

Dopotutto molti sono eguali per tutti: c’è quasi sempre un Trattamento Soci, spesso uno o più Trattamenti relativi a donatori, uno o più Trattamenti relativi agli assistiti. Poi c’è il sito web. A volte ci sono Trattamenti relativi ad eventi o alla ripresa si immagini. … Non ho mai visto una realtà del Terzo settore che avesse meno di 4 Trattamenti ma sono poche quelle che ne hanno più di 8-9.

“Identificare i Trattamenti non è difficile: Chi non ha un insieme di dati relativi ai soci, uno di dati relativi ai donatori e uno o più relativi alle persone assistite?”

Definito il Trattamento, occorre raccogliere molte informazioni: come sono stati raccolti quei dati? Dove sono archiviati (in quale armadio, in quale Pc in quale server…).

Questo è un lavoro corale che impegna tutti quelli che hanno memoria storica dell’organizzazione.

Forza, Che la Privacy sia con Te!

– Alberto –

gdpr non profit corso di formazione privacy