“Ma le organizzazioni No-Profit, devono mettersi in regola con il nuovo regolamento sulla protezione dei dati personali?”
Il GDPR vale per ogni organizzazione che tratti dati personali, e non sono attualmente previste esenzioni o semplificazioni, neanche per le attività di volontariato senza scopo di lucro.
Dobbiamo tener conto che tali attività trattano molti dati personali, perlopiù di levatura sensibile o particolare, come vengono adesso definiti (i dati sanitari, ma spessissimo anche altro).
Inoltre, tali organizzazioni hanno spesso convenzioni con USL, enti ed amministrazioni pubbliche, le quali dovranno obbligatoriamente richiedere il rispetto della normativa GDPR nel trattamento dei dati personali a loro affidati.
Ritengo che il percorso di adeguamento di una piccola organizzazione no-profit sia possibile (oltre che doveroso), anche con investimenti contenuti; il cambiamento rilevante dovrà essere principalmente organizzativo e di consapevolezza. Talvolta basta eliminare i trattamenti in eccesso o cambiare le modalità di trattamento, per risolvere una non conformità.
La base di partenza sarà comunque la consapevolezza e la responsabilizzazione; esse si fondano sulla conoscenza, quindi da una buona formazione, e dalla definizione e gestione delle opportune misure organizzative.
UPDATE: sono giunte moltissime richieste di chiarificazione in merito a questo post; ciò dimostra il grande interesse delle varie organizzazioni per l’adeguamento.
Cercherò di rispondere a tutti, qualora il quesito posto possa essere argomentato con una risposta e-mail.