Attività realizzate nello specifico

Come detto, quindi, la Fondazione Casa Cardinale Maffi-ONLUS, da sempre attenta alla gestione dei dati personali dei soggetti che, a vario titolo, entrano in contatto con la medesima, ha gestito nell’annualità 2018 il passaggio dalla precedente normativa in materia di trattamento dati personali, al nuovo Regolamento GDPR. Andando ad analizzare con più attenzione le attività concretamente poste in essere dalla Fondazione, possiamo dire che esse hanno preso avvio con una mappatura dei trattamenti, ossia individuando i dati trattati all’interno della struttura. In modo specifico sono stati individuati determinati trattamenti, che sono stati suddivisi per “tipologia di soggetto interessato”. Tra essi abbiamo i dati dei dipendenti e del personale assimilato133_{, i dati dei candidati all’assunzione, i dati degli assistiti, dei} loro familiari e dei rappresentanti134_{, i dati dei clienti}135_{, i dati dei} fornitori, degli utenti dei siti web, i dati emersi da rivelazioni e registrazioni di immagini136_{, e i dati dei partecipanti al Progetto “La} Palestra di Gabriele”.

132 _{Dal piano di progetto di adeguamento al GDPR della Fondazione “Casa Cardinale}

Maffi- O.N.LU.S”.

133 _{Dati comuni e dati di tipo particolare.}

134 _{Si tratta di dati anche di natura particolare e giudiziaria.} 135 _{Ossia dei soggetti destinati alla fatturazione.}

67

Una volta individuati i trattamenti, la Fondazione, ha provveduto ad individuare i soggetti autorizzati al trattamento, ossia gli addetti137 _{e i} soggetti esterni alla Fondazione che concorrono al trattamento138 _e successivamente ha provveduto ad individuare il luogo in cui tali dati risiedono, ossia gli archivi, sia cartacei che elettronici. Ha poi ritenuto opportuno mantenere in essere le figure del Responsabile Interno, individuate ai sensi del D.lgs 196/2003.

Una volta poi che la Fondazione ha mappato i dati, i soggetti che li trattano e gli archivi è stato possibile procedere ad aggiornare le informative degli interessati, nominare gli autorizzati al trattamento e integrare le condizioni contrattuali dei fornitori che trattano i dati di cui la Fondazione è titolare con un “addendum” che specifica il ruolo di responsabili e ne definisce compiti ed istruzioni.

Successivamente ha provveduto a rinnovare le nomine dei responsabili interni e a nominare un DPO, ossia il Responsabile delle Protezione dei dati. Quest’ultimo, nello specifico, è incaricato di controllare l’adeguatezza dei piani formativi, di quelli di sensibilizzazione e degli audit, di esprimere il proprio parere sulla valutazione di impatto, di gestire ed aggiornare il Registro delle attività di trattamento, di formare ed informare consulenza sulla conformità del Regolamento, di ricevere le istanze di accesso degli interessati e di fare da intermediario con il Garante Privacy.

La Fondazione ha provveduto altresì ad aggiornare il Regolamento interno sull’uso del sistema informativo, ossia un documento già presente in struttura da alcuni anni che detta le buone regole per l’utilizzo delle postazioni di lavoro, della rete, di internet, della posta elettronica ecc. Contestualmente la Fondazione ha provveduto ad elaborare una prima versione del Registro dei Trattamenti, documento

137 _{In precedenza nominati “incaricati del trattamento”.} 138 _{In qualità di responsabili.}

68

previsto dall’Art.30 del GDPR. Tale articolo, oltre a prevedere che il Registro debba essere tenuto in forma scritta, anche in formato elettronico e che debba essere esibito su richiesta del Garante, fornisce anche una lista di contenuti obbligatori, a cui la Fondazione si è attenuta. Ossia tale Registro deve indicare il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati. Deve inoltre indicare le finalità del trattamento ed effettuare una descrizione delle categorie di interessati e delle categorie dei dati personali. Deve indicare anche le categorie dei destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali. Ove applicabile, deve anche indicare i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, ove possibile, deve effettuare una descrizione generale delle misure di sicurezza tecniche e organizzative139_{. Si tratta quindi dei contenuti minimi che devono essere} indicati all’interno del Registro. Dal momento che però, questo documento, non dev’essere visto come un mero adempimento formale, anzi, deve essere inteso come uno strumento operativo, la Fondazione sta valutando di integrare tali contenuti con altre informazioni utili al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

Per redigere il registro dei trattamenti è stato creato un template in forma tabellare dove, per ogni trattamento, sono state inserite tutte le informazioni richieste. Il Registro dei Trattamenti diventa dunque per la Fondazione uno strumento fondamentale per mappare i flussi di dati all’interno della organizzazione. In tale senso, sono state aggiunte al

139 _{Art.32, paragrafo 1 del GDPR.}

69

Registro alcune righe, una riga in cui vengono indicate, per ciascun trattamento, le relative modalità e vengono individuati gli addetti. In merito invece alle Misure di Sicurezza si specifica invece che, all’interno del Registro, vengono indicate le misure di sicurezza principali, rinviando ad apposito documento “valutazione dei rischi per il dettaglio. Chiaramente il Registro dei trattamenti della Fondazione Casa Cardinale Maffi-ONLUS è un documento dinamico: un vero e proprio strumento di lavoro. Con esso la Fondazione ha a disposizione una mappatura ordinata ed organizzata che, da un lato in caso di visita ispettiva da parte degli organi del Garante dimostrerà una profonda attenzione alle tematiche di protezione dei dati personali; dall’altro consentirà all’organizzazione di tenere sotto controllo quali tipi sono in fase di trattamento, da chi140_{e per quali finalità.}

La Fondazione ha poi provveduto inoltre ad effettuare una valutazione dei rischi che incombono sui dati. La metodologia utilizzata prevede l’identificazione delle minacce e l’effettuazione della stima del rischio associato a ciascuna minaccia. La stima del rischio viene effettuata in prima battuta141_{senza tenere conto delle misure eventualmente già} adottate al fine di evidenziare i pericoli oggettivamente presenti in azienda e in seconda battuta142 _{tenendo conto delle misure già adottate} per rendere evidente la riduzione del rischio che ne deriva. Se il rischio già inizialmente risulta talmente basso da poter essere considerato trascurabile o nullo non è necessaria questa seconda stima del rischio143_. La dimensione del rischio si calcola moltiplicando la gravità del possibile danno sui dati/trattamenti con la probabilità che si manifesti una situazione pericolosa.

140 _{Quali servizi o unità aziendali.} 141 _{Stima del rischio iniziale.} 142 _{Stima del rischio residuo.} 143 _{Che quindi non viene effettuata.}

70

La Fondazione ha inoltre sviluppato una procedura per la gestione dei data breach ed ha aggiornato le procedure connesse alle misure di sicurezza. In merito alla formazione è stata invece effettuata, già dall’annualità 2017, una prima sessione formativa sulle novità connesse al nuovo Regolamento. Prossimamente è invece stata programmata una ulteriore sessione che coinvolgerà tutti i Responsabili di Struttura. Per ultimo l’azienda sta elaborando una Valutazione dell’Impatto sul trattamento più complesso: la cartella sanitaria elettronica, ancora in fase di implementazione.