Buona lettura.

***

Nell’era digitale in cui viviamo, la privacy è diventata un bene prezioso e la sua tutela è fondamentale per garantire la fiducia del pubblico.

Le società e gli enti del Terzo settore, spesso gestori di informazioni sensibili, devono affrontare sfide uniche nel preservare la privacy dei loro utenti. Tuttavia, talvolta, si possono commettere errori che mettono a rischio questa integrità. Vediamo insieme i tre errori più comuni da evitare assolutamente.

1. Trascurare l’Aggiornamento delle Politiche sulla Privacy

Uno degli errori più gravi che le organizzazioni del terzo settore possono commettere è trascurare l’aggiornamento delle proprie politiche sulla privacy. Le leggi e le normative cambiano nel tempo, e ignorare tali cambiamenti può portare a violazioni della privacy e conseguenti sanzioni legali. È essenziale che le organizzazioni mantengano le proprie politiche al passo con l’evolversi delle leggi e dei regolamenti in materia di privacy. Questo include non solo la revisione delle politiche interne, ma anche l’informazione tempestiva degli utenti riguardo a eventuali modifiche.

2. Conservare Dati Non Necessari o Obsoleti

Un altro errore comune riguarda la conservazione di dati non necessari o obsoleti. Spesso, le organizzazioni raccolgono una vasta quantità di informazioni senza una chiara finalità o senza pianificare adeguatamente la loro successiva gestione. Mantenere dati che non servono più è non solo un rischio per la sicurezza, ma può anche violare i principi di minimizzazione dei dati sanciti dalle leggi sulla privacy. Le organizzazioni devono implementare politiche rigorose sulla conservazione dei dati, assicurandosi di eliminare regolarmente informazioni obsolete e non più necessarie.

3. Mancanza di Formazione Adeguata del Personale

Un altro errore cruciale è la mancanza di formazione adeguata del personale. Spesso, le violazioni della privacy derivano da azioni inconsapevoli o errori umani. La formazione del personale è essenziale per garantire che tutti i membri dell’organizzazione comprendano appieno l’importanza della privacy e conoscano le procedure corrette per la gestione dei dati sensibili. Ignorare questa componente può lasciare l’organizzazione vulnerabile a potenziali errori che potrebbero compromettere la privacy degli utenti.

Questi errori spesso si declinano in: a) invio di mail a molteplici indirizzi, spesso rendendo visibili in “cc” una pluralità di soggetti; b) pubblicazione di foto che ritraggono minori o soggetti dei quali non deteniamo la dovuta autorizzazione consenso; 3) altre volte nella pubblicazione di dati in bacheche accessibili a tutti e nella raccolta di una quantità incredibile di fogli da conservare in luoghi non sicuri.

In conclusione, la protezione della privacy nel terzo settore è una responsabilità cruciale che richiede attenzione costante. Evitare i tre errori sopra menzionati può aiutare le organizzazioni a mantenere la fiducia del pubblico, rispettare le leggi vigenti e assicurare un ambiente sicuro per la gestione dei dati sensibili. La consapevolezza, l’aggiornamento costante e la formazione del personale sono chiavi per il successo in questo importante ambito.

***

GDPR. LA GESTIONE DELLA PRIVACY NEGLI ENTI NON PROFIT, con Avv. Francesco Paolo Visaggi.

3 ore, corso online. Iscrizioni aperte fino al 28 novembre.

L'articolo La tutela della privacy fra paure ed errori comuni proviene da Elena Zanella.

Quando si parla di privacy e database, siamo sicuri sia tutto a posto? Per le organizzazioni nonprofit, quello del trattamento del dato è un tasto dolente che a volte si sottovaluta e, in alcuni casi, si tende a rimuovere perché ritenuto sin troppo complesso. Mi riferisco in particolare agli enti più piccoli o meno strutturati.

Dato sensibile o normale? Come uso la foto di un minore? Come assicurare la riservatezza a donatore, prospect, utente?

Quello del GDPR è un tema che merita tutta la nostra attenzione perché con un po’ di cura possiamo preservare alla nostra nonprofit grandi mal di testa.

Francesco Paolo Visaggi è un avvocato e nella sua vita professionale si occupa appunto di questo. Ed è docente della Fundraising Academy con un modulo formativo di 6 ore che si terrà i prossimi 19 e 26 giugno su come costruire un piano privacy per la tua organizzazione. Se ne hai bisogno, consiglio di non perderlo.

——–

L’evoluzione tecnologica ha fatto sì che si rendesse necessario lo sviluppo di un quadro normativo più stabile e coerente in materia di protezione e trattamento dei dati personali all’interno dell’Unione Europea per consentire, maggiore controllo dei dati personali e maggiore certezza in merito alla gestione dei dati personali.

Il Gdpr si caratterizza, pertanto, per l’assenza di un binario predeterminato della norma, a favore di una precisa indicazione delle finalità degli adempimenti stessi, così abbandonando la precedente elencazione degli adempimenti essenziali.

La cosiddetta attività di “compliance” pertanto è un’attività sartoriale di alto livello che mira a realizzare il miglior abito per il titolare del trattamento.

Nel terzo settore dunque il rispetto della privacy è fondamentale al fine di un adeguato trattamento dei dati di associati e sostenitori attraverso una migliore organizzazione (compliance) e una precisa gestione del consenso.

Con il GDPR si ha finalmente l’occasione di raggiungere l’obiettivo di massima tutela dei sostenitori e associati allorquando conferiscano all’ente i propri dati personali.

Tutto ciò può essere realizzato attraverso una produzione documentale idonea (si veda informativa o registro trattamenti) nonché la formazione di chi materialmente tratta i dati (responsabili o incaricati del trattamento): le risorse umane sono la prima e più importante difesa e la prima e più importante vulnerabilità.

Tutto questo rappresenta la più alta tutela all’integrità e della riservatezza dei dati trattati, che si traduce nell’applicazione delle necessarie misure di sicurezza, tecniche e organizzative, in grado di tutelare il dato personale e dunque il sostenitore

Al Titolare del trattamento, in tale ambito, è lasciato il compito di contribuire attivamente al rispetto delle norme concedendogli maggiore libertà di azione ma anche più responsabilizzazione e responsabilità, non rappresentando tuttavia una minore severità del regime sanzionatorio.

Il Regolamento UE n. 2016/679 accentuando la tutela della privacy, introduce elementi interessanti quali:

• Analisi del rischio e valutazione di impatto.
• Il registro dei trattamenti.
• Regole dettagliate in materia di informativa e consenso.
• Introduzione del “diritto all’oblio”.
• Introduzione del diritto alla portabilità dei propri dati personali.
• Introduzione del principio di responsabilizzazione (accountability).
• Introduzione della “privacy by design” ovvero protezione dei dati sin dalla fase di progettazione, e, ”privacy by default”, progettare misure che abbiano come impostazione predefinita solo l’uso dei dati necessari per finalità.
• DPO (Data Protection Officer).

In conclusione, le attività di raccolta fondi, gestione della comunicazione e del marketing, uso di foto e video, il web, se coordinate secondo un filo conduttore teso alla tutela di tutti quei soggetti che stanno a cuore all’associazione, avranno quel valore in più, quel quid pluris che è caratterizzato dal rispetto della riservatezza.

***

Vuoi formarti al fundraising? Scegli i corsi della Fundraising Academy:

Per una formazione complessiva al Fundraising Integrato, scegli Startup Fundraising:

L'articolo Nonprofit e privacy. Sicuri sia tutto a posto? proviene da Elena Zanella.

Gentile amic*,

ti informo che sto adeguando il sistema di trattamento dei dati personali dei miei canali di comunicazione e i miei brand nel rispetto di quanto prevede il General Data Protection Regulation (GDPR 2016/679) che entrerà in vigore il prossimo 25 maggio 2018.

Se ricevi questa email significa che hai liberamente accettato di rimanere aggiornato sull’attività del mio blog personale, Nonprofit Blog (http://elenazanella.it), e sulle informazioni ad esso collegate. Desidero dunque informarti che continuerò a utilizzare la tua email a questo scopo.

Nel caso in cui fosse cambiato qualcosa o desiderassi cancellarti, ti prego di darmene tempestiva comunicazione. Più comodamente puoi anche utilizzare il servizio WordPress che trovi in fondo all’email per annullare in tempo reale la tua sottoscrizione o accedere alla stessa funzione mediante questo link.

Il blog si appoggia a Iubenda per assolvere agli obblighi di legge. A questo link, come in calce al blog, puoi prendere visione dell’Informativa sul Trattamento dei Dati personali puntualmente aggiornata.

Se hai partecipato a uno dei miei corsi, ti anticipo che riceverai medesima comunicazione tramite PEC e che entro il 25/5 anche i siti della Fundraising Academy e di Startup Fundraising verranno puntualmente aggiornati secondo la nuova legge.

Nonprofit Blog desidera essere un compagno prezioso e un aiuto valido nella tua professione. Per questo, la cura della tua amicizia e la costruzione di contenuti di valore saranno sempre prioritari per me.

Grazie sin d’ora per la collaborazione e per la fiducia.

Elena Zanella

L'articolo 25 maggio, il brand si adegua al nuovo GDPR proviene da Elena Zanella.

Il 25 maggio si avvicina e cresce l’ansia rispetto a quanto il nuovo GDPR impatterà sugli organismi nonprofit e sul lavoro del fundraiser. Attraverso Nonprofit Blog desidero dare un contributo di valore alla materia grazie all’intervento dell’avvocato Chiara Agostini, partner dello studio RpLegal, per chiarire alcuni aspetti prioritari a cui occorrerà necessariamente conformarsi. Nel farlo, l’avvocato dà un taglio ad uso del fundraiser con la promessa di tornare sull’argomento con una Q&A mirata e fruibile secondo anche i suggerimenti che arriveranno dal lettore. Buona lettura.

—–

Il prossimo 25 maggio diventerà a tutti gli effetti applicabile il nuovo Regolamento UE 679/2016 (il c.d. “GDPR”) in materia di protezione dei dati personali: si tratta di un testo fortemente innovativo rispetto alla normativa vigente, che si pone come obiettivo quello di delineare principi comuni per tutti gli Stati membri e un più alto livello di garanzie a tutela del diritto fondamentale dei cittadini alla propria riservatezza.

A tale nuovo impianto normativo, sono chiamati a conformarsi tutti i titolari del trattamento, indipendentemente dalla loro natura giuridica, dal settore merceologico d’appartenenza e dalle dimensioni dell’attività, pena l’irrogazione di sanzioni pecuniarie amministrative che possono raggiungere anche il 4% del fatturato globale annuo o 20 milioni di euro. Entro tale data, pertanto, anche gli enti e le organizzazioni nonprofit, in quanto titolari dei dati dei propri dipendenti e collaboratori, dei volontari, dei donatori e dei beneficiari delle loro attività, dovranno procedere ad adeguarsi a tale nuova normativa.

Il percorso da seguire per conformarsi al GDPR presuppone una mappatura delle banche dati in uso all’interno di ciascuna organizzazione nonprofit, volta ad individuare le caratteristiche intrinseche dei trattamenti posti in essere, in termini di dati personali raccolti, siano essi comuni o sensibili, finalità perseguite, soggetti coinvolti e misure di sicurezza applicate.

Per dato comune, si intende:

“qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (cfr. art. 4, comma 1, lett. b) del D.Lgs. 196/2003)

Per dato sensibile, si intende:

“i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (cfr. art. 4, comma 1, lett. d) del D.Lgs. 196/2003)

Da tale indagine, in conformità ai nuovi principi di privacy by design e privacy by default e in adempimento al principio di accountability che richiede la responsabilizzazione del titolare del trattamento, sarà necessario operare una valutazione circa l’adeguatezza dei dati raccolti rispetto allo scopo perseguito e delle misure di sicurezza applicate al fine di preservare tali informazioni da possibili accessi non autorizzati, perdite o alterazione di dati o, ancora, rischi di indisponibilità degli stessi.

Diversamente dalla normativa vigente, che detta una impostazione formalistica per il rispetto della normativa in materia di privacy, il testo normativo del GDPR non fornisce indicazioni precise su quali siano le misure pratiche da adottare: secondo tale nuova impostazione, infatti, l’approccio da tenere in ordine a ciascuna banca dati dovrà essere valutato direttamente dal titolare caso per caso, tenendo in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento che si intendono perseguire.

Oltre a tali principi di carattere generale, le organizzazioni nonprofit saranno tenute ad aggiornare le informative privacy e i format del consenso, in base ai nuovi diritti e ai nuovi obblighi informativi disposti dal regolamento europeo, nonché a porre in essere le nuove formalità richieste da tale disposizione di legge, nei limiti e con le modalità ivi delineate: le procedure aziendali nel rispetto dei principi di privacy by design e privacy by default e per il data breach, il registro del trattamento, la nomina del Responsabile della Protezione dei dati e il privacy impact assessment.

Il quadro normativo poc’anzi delineato, si noti bene, dovrà essere applicato di concerto a tutti i provvedimenti e le normative adottate a livello nazionale in materia di trattamento dei dati personali, senza dimenticare le disposizioni in materie specifiche, come ad esempio quelle dedicate al trattamento dei dati nel settore del telemarketing.

A tal proposito, nell’interesse delle organizzazioni che svolgono attività di fundraising, giova ricordare che lo scorso 4 febbraio è entrata in vigore la Legge 11 gennaio 2018 n. 5, meglio nota come legge “anti-telemarketing”.

Tra le numerose innovazioni apportate da tale disposizione normativa, particolare attenzione va attribuita alla possibilità per gli utenti di iscrivere al registro delle opposizioni anche le numerazioni fisse non presenti negli elenchi pubblici e quelle di telefonia mobile.

Il Registro Pubblico delle Opposizioni è gestito dalla Fondazione Bordoni ed è stato costituito nel 2010 per offrire un servizio a tutela del cittadino, consistente nella possibilità di indicare la numerazione di telefonia fissa presente negli elenchi pubblici su cui vietare la ricezione di telefonate indesiderate.

Parimenti rilevante è la disposizione per cui, con l’iscrizione al suddetto registro, il legislatore ha precisato che devono intendersi revocati tutti i consensi al trattamento dei dati personali espressi in precedenza, fatti salvi solamente

“i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”.

In virtù di tale assunto, pertanto, nonostante la permanenza di qualche dubbio in merito alla sua corretta interpretazione, sarà possibile, per gli utenti, indicare specifiche deroghe al regime di opposizione generale in favore di determinati titolari/operatori commerciali, in mancanza delle quali, salvo la limitazione sopra citata, tutti i precedenti trattamenti della numerazione iscritta in tale registro dovranno intendersi come revocati.

Per evitare di incorrere in illeciti trattamenti di dati, è pertanto necessario per tutte le organizzazioni nonprofit che svolgono attività di fundraising, consultare mensilmente e, comunque, prima di intraprendere ogni campagna promozionale, il Registro delle Opposizioni, tenendo così regolarmente aggiornata – e lecita – la propria lista di contatti.

————-

Guest post. Txs to Chiara Rossana Agostini. Partner del dipartimento TMT & Privacy dello Studio R&P Legal, esperta in materia di privacy e data protection, offre assistenza giudiziale e consulenza stragiudiziale a società, enti ed associazioni, oltre al servizio di assessment privacy in base al nuovo regolamento Europeo n. 679/2016 GDPR e al servizio di data protection officer. È membro italiano del Cloud Privacy Check, network internazionale di studi legali specializzati in materia di diritto della protezione dei dati personali. Autrice di diversi articoli e contributi in tema di protezione di dati personali e di proprietà intellettuale, partecipa regolarmente a workshop e convegni in qualità di relatrice. replegal.it

L'articolo Il GDPR per il nonprofit, più tutela per i cittadini e maggiori responsabilità per gli enti proviene da Elena Zanella.