O.N.L.U.S
Prima che entrasse in vigore il GDPR, le Fondazioni, tra le quali anche la Fondazione Casa Cardinale Maffi – O.N.L.U.S, seguivano le disposizioni del D.lgs 196/2003 in materia di privacy, dal quale ne è derivato il Codice sulla privacy. Prima di trattare del nuovo Regolamento sulla privacy-GDPR, è quindi opportuno analizzare l’applicazione di tale D.lgs 196/2003 all’interno della Fondazione di riferimento.
2.3.1 Il piano di progetto iniziale
La prima cosa che la Fondazione ha dovuto affrontare per adeguarsi al D.lgs 196/2003, è stata quella di dar adito ad un incontro introduttivo volto ad analizzare le disposizioni della relativa normativa. Ha dovuto inoltre effettuare una valutazione della documentazione posta in essere
60
dall’azienda, verificare l’organigramma aziendale116 nonché le varie tipologie dei dati trattati e per finire, raccogliere tutte le informazioni necessarie per la stesura del progetto, in modo così da poter procedere con quest’ultima e con la presentazione del Piano del Progetto. Quest’ultimo per prima cosa si è occupato della documentazione relativa alla privacy e in modo particolare dei soggetti nei confronti dei quali tali documenti erano diretti.
Si è occupato anche di stabilire i vari testi dei documenti e di definire le procedure volte ad aggiornarli, raccoglierli e distribuirli. Tale Progetto ha poi esposto le procedure della privacy in modo che fossero adeguate alla Fondazione, di semplice attuazione, documentate in modo personalizzato e qualificate in modo da comportare il più basso impatto sui costi e, nel contempo, garantire compiutamente gli adempimenti normativi, attivando le misure di sicurezza previste dal Codice della privacy. Contestualmente venne redatto il programma di formazione del personale definendo le tempistiche necessarie dei vari interventi e le necessarie documentazioni relative alla pianificazione e allo svolgimento delle attività di formazione117.
2.3.2 Implementazione del Piano del Progetto
Il Progetto che la Fondazione Casa Cardinale Maffi- O.N.L.U.S pose in essere per adeguarsi al Codice della privacy è stato caratterizzato da diverse fasi.
La prima è stata una fase di “Assessment”, ossia una fase volta all’attività di analisi. Per prima cosa quindi vennero individuate e classificate le varie tipologie dei dati trattati, fra cui emersero quelli dei dipendenti e dei collaboratori,
116 Locuzione utilizzata in economia aziendale per indicare l’organizzazione di
un’azienda.
61
quelli dei candidati per le assunzioni, i dati degli ospiti delle varie strutture, quelli dei clienti per gli adempimenti amministrativi, i dati dei fornitori, dei sostenitori della Fondazione118, quelli degli utenti dei siti web ed altri dati119. Tali dati vennero classificati in dati comuni, sensibili e giudiziari e venne effettuata un’analisi della loro corretta gestione in azienda. Furono individuate e classificate anche le misure minime di sicurezza, le banche dati120e gli archivi, nonché le modalità e gli scopi dei trattamenti e delle procedure circa la diffusione e la comunicazione all’esterno dei dati stessi.
Sulla base dei risultati emersi venne avviata la seconda fase, caratterizzata dall’analisi delle informative e dei consensi informati forniti, proseguendo poi alla verifica di quelle che già erano in vigore, preoccupandosi di aggiornarle e di fornire quelle mancanti. Fu poi opportuno definire le modalità di gestione non ancora presenti e tra le informative da accrescere emersero sia l’informativa privacy per il sito web, improntandola sui principi di correttezza, liceità, trasparenza e tutela della sua riservatezza e dei suoi diritti121, sia quella della cookie policy122e sia le indicazioni al webmaster123 per la realizzazione del banner124 da immettere nel sito. Per poi redigere ed aggiornare la documentazione dei punti sopraindicati, vennero poste in essere attività di
118 Per donazioni, lasciti ed altri.
119 Ad esempio quelli di videosorveglianza. 120 Banche dati sia cartacee, sia elettroniche. 121 Art.13 del D.lgs 196/2003.
122 Che ha lo scopo di evidenziare le procedure riguardanti la raccolta delle
informazioni fornite dagli utenti quando visitano il sito, tramite i cookie o altre tecniche di monitoraggio.
123 Responsabile del progetto o della gestione di un sito web. 124 Informativa breve.
62
back office125. Furono poi attuate procedure ah hoc relative ad aspetti particolari, come quelle della videosorveglianza, volte a fornire istruzioni ben precise circa le modalità di tutela dei dati personali che gli incaricati e i responsabili dovevano porre in essere in ragione delle loro specifiche mansioni, in modo conforme alle disposizioni di legge e agli orientamenti dell’Autorità Garante per la privacy.
La terza fase, invece, definita come la fase operativa, fu volta alla formazione a gruppi omogenei degli utilizzatori126. In tale fase furono implementate attività volte alla formazione e alla informazione dei titolari e dei responsabili e attività dirette alla predisposizione di misure minime di sicurezza, avvalendosi di consulenti sulla sicurezza informatica. Fu infatti necessario sviluppare il Regolamento interno raccogliendo tutte le informazioni utili per individuare i rischi a cui i dati erano esposti nonché le misure di sicurezza già esistenti e quelle che dovevano essere attivate127.
Vennero predisposti anche dei sopralluoghi, sia presso la sede principale della Fondazione, che presso le altre sedi, in modo da poter verificare le procedure e i protocolli già presenti e nel caso integrarli. Venne effettuata anche una raccolta dei dati relativi ai soggetti esterni che effettuavano i trattamenti per conto della Fondazione Maffi o che venivano a contatto con i dati per i quali la Fondazione ne costituiva il titolare del trattamento. A tali responsabili esterni del trattamento o a tali autonomi titolari che gestiscono i dati per conto della Fondazione, vennero inviate anche apposite lettere. Per condividere la documentazione con il cliente vennero effettuati incontri volti a
125 Quel settore dell’azienda dedicato alle attività di produzione, amministrazione e
sviluppo e solitamente precluso al pubblico.
126 Medici, infermieri, educatori, coordinatori, operatori, amministratori etc. 127 Allegato B codice della privacy.
63
presentare i documenti predisposti, incontri formativi e vennero date delle dritte per la corretta gestione degli stessi.
2.3.3 Audit periodici e verifica del rispetto della normativa
Per eseguire correttamente le disposizioni predisposte dal Codice della Privacy era necessario che l’adeguamento ottenuto venisse mantenuto nel tempo.
Furono pertanto necessarie attività volte a verificare se la modulistica fornita e le varie procedure poste in essere potevano mantenersi sebbene i mutamenti e quindi se tali procedure potessero ritenersi ancora adeguate nonostante l’evoluzione normativa. Furono inoltre essenziali aggiornamenti sulle principali novità in materia e interventi annuali di formazione nei confronti del personale che si occupava del trattamento dei dati. Tali audit periodici consistevano quindi in controlli volti a verificare se la normativa sulla privacy venisse correttamente rispettata. Possono perciò essere paragonati a dei check up in quanto vennero esperiti con l’ausilio di esperti indipendenti che agirono individuando le “cure” necessarie a correggere le procedure ed i livelli di conoscenza tra gli operatori idonei a garantire nel tempo il rispetto della normativa.