di Rosa Ciongoli
L’approfondimento
Gli enti del Terzo settore raccolgono ed elaborano numerosi dati personali relativi a personefisiche necessari allo svolgimento delle proprie attività (dati dei soci, dei volontari, dei consulenti, dei fornitori, dei donatori ecc.) e spesso possono acquisire dati par-ticolari per la realizzazione di scopi determinati e legittimi individuati dagli statuti e/o atti costitutivi.
Il Regolamento europeo 2016/679 (GDPR), per-tanto, richiede anche alle organizzazioni attive nel terzo settore una serie di adempimentifinalizzati ad evitare che gli stessi possano incorrere in sanzioni.
Tra questi la nomina del Titolare del trattamento (DPO) che, tuttavia, dal tenore letterale della norma, non sempre è unafigura obbligatoria. Si propone, a talfine, l’analisi di taluni aspetti su cui prestare maggiore attenzione.
Riferimenti
Regolamento UE 27 aprile 2016, n. 2016/679 D.Lgs. 10 agosto 2018, n. 101
Con l’entrata in vigore del Regolamento europeo 2016/679 relativo alla protezione dei dati personali delle personefisiche sono state introdotte nuove tutele a favore degli interessati (personefisiche a cui si riferi-scono i dati personali) e, inevitabilmente, nuovi obbli-ghi a carico del titolare (persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina lefinalità e i mezzi del trattamento di dati personali) e del respon-sabile del trattamento di dati personali.
Secondo il GDPR l’obbligo di adeguarsi come
“Titolare del trattamento” grava su qualsiasi soggetto giuridico (società, enti ...) o personafisica (ditte indivi-duali, professionisti ... ) che tratti i dati personali in nome proprio o che ne deleghi il trattamento ad altri soggetti (responsabili del trattamentoex art. 28 GDPR).
Non vi è dubbio, pertanto, che il Regolamento si applica anche alle organizzazioni attive nel Terzo settore, che operano quotidianamente sui dati perso-nali delle persone fisiche. Tra le attività del Terzo settore, in ragione degli interessi perseguiti, rientrano infatti le innumerevoli operazioni di trattamento su tipologie di dati personali, anche particolari, per i quali il Regolamento richiede una maggior protezione.
Di seguito, pertanto, si cercherà di approfondire taluni aspetti che coinvolgono anche gli enti di Terzo settore, in senso ampio, ed ai quali sarebbe cosa utile prestare una qualche attenzione.
Enti del Terzo settore e trattamento dei dati particolari
Gli enti del Terzo settore raccolgono ed elaborano numerosi dati personali relativi a persone fisiche necessari allo svolgimento delle proprie attività (dati dei soci, dei volontari, dei consulenti, dei fornitori, dei donatori ecc.) e spesso possono acquisire dati particolari (si pensi alle associazioni di pubblica assi-stenza o alle associazioni sportive dilettantistiche) per la realizzazione di scopi determinati e legittimi indi-viduati dagli statuti e/o atti costitutivi.
A tal proposito, il Regolamento di cui sopra, richiede all’ente una serie di adempimenti, di seguito elencati,
Rosa Ciongoli - Avvocato
finalizzati ad evitare che lo stesso possa incorrere in sanzioni:
•
effettuare un’analisi dei rischi individuando le tipologie di dati trattati, predisporre misure di sicurezza adeguate, siafisiche che informatiche, al fine di evitare la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati;•
predisporre le informative e un registro dei trattamenti effettuati;•
individuare eventuali respon-sabili del trattamento ai sensi dell’art. 28 GDPR1;•
valutare i trattamentieffet-tuati e considerare se gli stessi richiedano l’even-tuale nomina di un DPO, ai sensi dell’art. 37 GDPR2.
Per individuare il tipo di trattamento effettuato è necessario ricordare brevemente che i dati perso-nali vengono divisi in tre categorie così come elencati dal Garante della privacy, per le quali la legge prevede specifici presupposti e condizioni di trattamento:
•
i dati che permettono l’identificazione diretta (come i dati anagrafici, tra cui il nome e il cognome, le immagini, ecc.) e i dati che permettono l’identi-ficazione indiretta (come un numero di identifica-zione quale il codice fiscale, l’indirizzo IP, il numero di targa);•
i dati rientranti in particolari categorie: si tratta dei dati c.d. sensibili, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filoso-fiche, le opinioni politiche, l’appartenenza sinda-cale, relativi alla salute o alla vita sessuale. Il Regolamento UE 2016/679 (art. 9 GDPR) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;•
i dati relativi a condanne penali e reati: si tratta dei dati c.d. giudiziari, cioè quelli che possono rivelarel’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esem-pio, i provvedimenti penali di condanna definitivi, la libera-zione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla deten-zione) o la qualità di imputato
o di indagato. Il
Regolamento UE 2016/679 (art. 10 GDPR) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza3.
In linea con il tema in oggetto, assume rilevanza l’art. 9 GDPR il quale al paragrafo 1) sostiene che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose ofilosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biome-trici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”4.
Il successivo paragrafo 2) del medesimo articolo pre-vede delle deroghe al paragrafo 1) ed elenca una serie di situazioni in cui è invece possibile procedere al trattamento dei dati particolari. Nello specifico, tra le varie deroghe previste al paragrafo 2, è opportuno segnalare, in ragione alla presente trattazione, la lett. d) del GDPR che legittima il trattamento dei dati DEFINIZIONI
Per trattamento dei dati personali si intende“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la
registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o
l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, punto 2 del GDPR).
Note:
1 Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.
2 IlData Protection Officer (DPO) o Responsabile della Protezione dei Dati è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all ’applica-zione del GDPR (art. 37).
3 Cfr. https://www.garanteprivacy.it/home/diritti/cosa-inten-diamo-per-dati-personali.
4 Cfr. art. 9, par. 1, Reg. UE 679/2016.
particolari (come in precedenza individuati) da parte di fondazioni, associazioni e altri organismi senza scopo di lucro che, nell’ambito delle relative attività e con le dovute garanzie, perseguano finalità filosofiche, reli-giose e sindacali. La condizione di liceità cui è subordi-nata tale concessione normativa è che il trattamento sia circoscritto ai dati personali di membri,ex membri o comunque di persone che tengano regolari contatti con le predette organizzazioni in ragione delle finalità di utilità sociale e che i dati personali non siano comunicati all’esterno senza previo consenso dell’interessato5. Sul punto appena delineato, di particolare impor-tanza, sono gli obblighi che ha indicato il Garante con Provvedimento n. 146 del 5 giugno 20196 per quegli enti che trattano dati particolari.
Con specifico riferimento agli enti del Terzo settore, degne di nota sono proprio le prescrizioni di seguito elencate e poste a tutela dellaprivacy degli interessati:
•
possibilità di comunicare i dati personali riferiti agli associati/aderenti agli altri associati/aderenti anche in assenza del consenso degli interessati, a condi-zione che la predetta comunicacondi-zione sia prevista, nell’ambito dell’autonomia privata rimessa a cia-scun ente, dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano rese note agli interessati in sede di rilascio dell’informativa ai sensi dell’art. 13 del Regolamento UE 2016/679;•
necessità per l’ente del Terzo settore di adottare misure tecniche ed organizzative volte a prevenire una comunicazione arbitraria ed ingiustificata dei dati personali degli interessati a soggetti diversi dai legittimi destinatari, laddove vengano in conside-razione profili esclusivamente personali riferiti agli associati/aderenti;•
possibilità di effettuare la comunicazione dei dati personali relativi agli associati/aderenti all’esterno dell’ente e diffonderli solo con il consenso degli interessati, previa informativa agli stessi in ordine alla tipologia di destinatari e allefinalità della tra-smissione e purché i dati siano strettamente perti-nenti allefinalità ed agli scopi perseguiti dall’ente;•
in ogni caso, possibilità di comunicare i dati parti-colari alle Autorità competenti perfinalità di pre-venzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia7.Ne deriva, da quanto brevemente esposto che, valutato che anche gli enti del Terzo settore sono autorizzati a trattare dati particolari per perseguire scopi determinati e legittimi individuati dalla legge, dall’atto costitutivo, dallo statuto e nello specificoperperseguiredeterminate finalità (culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione, di formazione, di patrocinio, di tutela dell’ambiente e delle opere di interesse artistico e storico, salvaguardia dei diritti civili, di beneficenza, assistenza sociale o socio-sanitaria), si ritiene cosa utile approfondire, nel successivo paragrafo, se vi sia l’obbligo per tali enti di nominare un DPO ai sensi dell’art. 37 GDPR, ove trattino dati particolari ai sensi dell’art. 9 del GDPR.
Enti del Terzo settore e nomina del DPO
Il Regolamento, in alcuni casi specifici, impone obbli-gatoriamente la nomina del DPO, definito come una persona interna o esterna al titolare o anche una società esterna a cui spettano compiti di controllo e assistenza sui trattamenti svolti dal titolare, alfine di assicurare che tali trattamenti siano conformi al GDPR. Più in dettaglio, si tratta di un soggetto designato dal titolare o dal respon-sabile del trattamento per assolvere a funzioni di sup-porto e di controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. A tal fine, deve essere “tempestivamente e adeguatamente”
coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audi-zioni, accertamenti ispettivi o riunioni svolte a vario titolo). Coopera, inoltre, con l’Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interes-sati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39, GDPR).
La nomina obbligatoria del DPO è prevista nei casi elencati dall’art. 37 del GDPR il quale dispone:
Il titolare del trattamento e il responsabile del tratta-mento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
Note:
5 Cfr. art. 9 par. 2, lett. d) Reg. UE 679/2016.
6 Pubblicato in Gazzetta Ufficiale, Serie Generale n. 176 del 29 luglio 2019.
7 Cfr.E-book l’Applicazione della privacy agli enti non profit, Revelino Editore.
a) il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico, eccettuate le Autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di appli-cazione e/ofinalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 108. A tal proposito, anche gli enti del Terzo settore possono facilmente avere a che fare con dati “parti-colari” (sensibili), in particolar modo quando ope-rano in quei settori che il legislatore considera più delicati quali l’ambito sanitario, chi lavora con mala-tio soggetti portatori dihandicap o tossicodipendenti, ma anche con anziani portatori di patologie, l’ambito religioso o l’ambito dell’appartenenza etnica (asso-ciazioni che lavorano con i nomadi o migranti).
La lett. c) dell’art. 37 specifica, tuttavia, che questa figura diviene obbligatoria solamente quando leorga-nizzazioni trattano su“larga scala” i dati particolari di cui all’art. 9 e i dati giudiziari relativi a condanne penali di cui all’art. 10 del GDPR.
Dalla lettura della norma non appare, tuttavia, del tutto definito quando il DPO sia figura obbligatoria o meno. Per fare maggiore chiarezza circa il contenuto della norma occorre, pertanto, operare un’analisi accurata della lett. b) dell’art. 37 del GDPR, andando a chiarire due aspetti fondamentali che attengono al significato di i) monitoraggio “regolare e sistematico”
e ii) al trattamento dei dati“su larga scala”.
In merito al primo aspetto, il trattamento si definisce
“regolare” laddove avvenga in maniera continuativa, periodica, mentre diviene “sistematico” qualora venga effettuato mediante un sistema predetermi-nato, organizzato e metodico di raccolta dei dati oppure se sia svolto in applicazione di una strategia, se avvenga per sistema, se sia predeterminato, orga-nizzato, metodico o abbia luogo nell’ambito di un progetto complessivo di raccolta dati (es.
funzionamento di una rete di telecomunicazioni, attività dimarketing basate sull’analisi dei dati raccolti, profilazione ecc.)9.
In merito al secondo aspetto, si è già evidenziato che la lett. c) dell’art. 37 del GDPR prevede l’obbligo di nomina del DPO quando le attività principali del titolare del trattamento o del responsabile del tratta-mento consistono nel trattatratta-mento“su larga scala” di categorie particolari di dati personali di cui all’art. 9 GDPR o di dati relativi a condanne penali e a reati di cui all’art. 10 GDPR; ma quando un trattamento può definirsi svolto “su larga scala”?
Il concetto di larga scala rappresenta una delle molte-plici novità introdotte dal Regolamento UE 2016/
679 e ad esso sono legate attività molto rilevanti per il titolare del trattamento dati; tuttavia, all’interno del-l’art. 37 del Regolamento non si dà alcuna defini-zione di trattamento su larga scala.
In base alle Linee guida europee (art. 29Data Protection Working Party)10pur sostenendo l’impossibilità di pre-cisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità, raccomanda di tenere conto di alcuni fattori alfine di determinare se un trattamento sia effettuato su larga scala. A tal proposito si possono usare criteri quantitativi e qualitativi come:
•
il numero di soggetti interessati al trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;•
il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;•
la durata, ovvero la persistenza, dell’attività di trattamento;Note:
8 Cfr. art. 10 del GDPR:“Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’art. 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’Autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garan-zie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’Autorità pubblica”.
9 Cfr. E. Bassoli,La nuova Privacy GDPR, Dike Giuridica Editrice.
10 Il gruppo dell’art. 29 per la tutela dei dati (in inglese Article 29 Working Party o WP29) era il gruppo di lavoro comune della Autorità nazionali di vigilanza e protezione dei dati. Il 25 maggio 2018 è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB) ai sensi del Regolamento generale sulla prote-zione dei dati dell’UE (GDPR) (Regolamento UE 2016/679).
•
la portata geograficadell’attività di trattamento.
Un esempio di trattamento di dati personali su larga scala potrà, pertanto, essere verificato nella attività ospedaliere, di tra-sporto pubblico, di telefonia e di assicurazione.
Il Garante stesso ha identificato alcuni trattamenti su larga scala e sembrerebbero delle ipotesi abbastanza distanti dalla nor-male attività degli ETS (scoring
o profilazione su larga scala e attività predittive rela-tive al rendimento professionale, alla situazione eco-nomica, alla salute, alle preferenze o gli interessi personali, all’affidabilità o al comportamento, all’u-bicazione o agli spostamenti dell’interessato; screening sulla persona per assumere decisioni rilevanti su di essa; osservazione, monitoraggio o controllo sistema-tico degli interessati anche attraverso reti e app; trat-tamenti sistematici di dati biometrici e dati genetici ecc.).
Tuttavia, vi sono ipotesi di trattamenti su larga scala anche per gli enti del Terzo settore, ed in particolare:
per citarne alcuni, i“Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)” e i“Trattamenti di categorie particolari di dati ai sensi dell’art. 9 GDPR oppure di dati relativi a condanne penali e a reati di cui all’art. 10 GDPR interconnessi con altri dati personali raccolti perfinalità diverse.
Alla luce di quanto delineato in merito alla specifica questione oggetto del presente scritto, si ritiene pos-sibile trarre brevi considerazioni.
Osservazioni conclusive
La valutazione delle disposizioni del Garante e le Linee guida del WP29 (Article 29 Data Protection Working Party) permettono di ritenere che non sia frequente che gli enti del Terzo settore effettuino un trattamento di dati su larga scala, mentre potrebbe essere più consueto da parte loro gestire un
trattamento, non occasionale, di dati relativi a soggetti minori, disabili, anziani o più“deboli”
ovvero trattamenti di categorie particolari di dati ai sensi del-l’art. 9 del GDPR o dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR.
A fronte di ciò, considerando la difficoltà nell’applicare la norma ad ogni trattamento spe-cifico che l’ente svolge, pos-siamo sostenere che gli enti del Terzo settore che trattano unicamente dati per-sonali comuni non sono obbligati alla nomina di un DPO ma devono tuttavia adeguarsi al GDPR adot-tando misure di sicurezza tali da evitare la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati.
Diversamente, sono tenuti alla nomina di un DPO gli enti del Terzo settore che, nello svolgimento della loro attività principale, svolgono un monitoraggio sistematico su larga scala dei beneficiari della loro attività o compiono un trattamento, su larga scala, non occasionale di dati particolari ai sensi dell’art. 9 del GDPR relativi a soggetti vulnerabili o di dati giudiziari relativi a condanne penali e a reati di cui all’art. 10 GDPR, applicando quei criteri qualitativi e quantitativi quali il numero di soggetti interessati al trattamento, la durata del trattamento e la portata geografica dell’attività di trattamento.
In tale contesto sarebbe utile che gli enti del Terzo settore ponessero attenzione agli aspetti preceden-temente delineati svolgendo almeno un’analisi di dettaglio sul tipo di trattamento effettuato ese-guendo una minuziosa mappatura dei dati personali che vengono trattati e dei soggetti interessati alfine di predisporre una valutazione dei rischi e, conse-guentemente, adempiere agli obblighi previsti dal GDPR con l’adozione delle misure di sicurezza richieste dalla normativa.
Il PROBLEMA
L’art. 37 del GDPR prevede l’obbligo di nomina del DPO quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento“su larga scala” di categorie particolari di dati personali o di dati relativi a condanne penali e a reati di cui all’art. 10 GDPR. Ma quando un trattamento può definirsi svolto “su larga scala”?