Giorgio Calderaro cura l’IT e la comunicazione de “Il laboratorio”, organizzazione senza fini di lucro che offre servizi alla persona.
Presentazione dell’intervistato e de “Il laboratorio”
GDPR e no profit, dalla teoria alla pratica. Ho voluto sentire la voce di una realtà e “Il laboratorio” mi ha dato questa possibilità
Presentazione di Giorgio Calderaro e dell’associazione “Il laboratorio”
D. Ciao Giorgio, puoi presentarti?
R. Sono Giorgio Calderaro e, per l’Associazione Il Laboratorio, da molti anni curo i sistemi e il sito e gestisco la comunicazione.
D. Puoi presentare “Il laboratorio”, la realtà no-profit in cui operi?
R. Il Laboratorio si occupa di integrazione sociale di persone fragili e disabili. Offre lavoro e attività di accoglienza e sostegno.
D. Chi sono i vostri utenti e i vostri interlocutori?
R. I nostri utenti sono persone in difficoltà segnalate dai Servizi Sociali e da altre Associazioni.
Gli interlocutori sono il Comune di Milano e i vari Enti privati o pubblici che ci mandano persone.
D. Cosa significa operare in una no-profit per un professionista o un volontario?
R. L’operare in una non profit richiede le stesse attenzioni professionali di un’azienda che svolga servizi alla persona. Rispetto ad un’azienda, in una non profit esiste il problema della ricerca fondi, indispensabili per continuare le attività.
GDPR e no-profit 4 aspetti fondamentali
A. Acquisizione dati e consenso
D. Che tipo di dati vengono trattati da una no-profit?
R. In una non profit di servizi alla persona si gestisce la stessa tipologia di dati che si gestisce, ad esempio, in un centro medico. In più, ci sono i dati relativi a chi fa donazioni e, essendo la nostra un’associazione, quelli relativi ai soci.
D. In fase di acquisizione come si gestisce il consenso che la nuova normativa richiede?
Il consenso più delicato è quello che va chiesto agli utenti, attraverso un colloquio.
B. Conservazione e gestione
D. Come vengono conservati i dati?
R. I dati sono alle volte cartacei, conservati in scaffali chiusi a chiave, o elettronici, conservati su PC protetti da password.
D. E’ diffuso l’utilizzo del mezzo informatico?
R. Il mezzo informatico è indispensabile per l’interazione con gli Enti affidatari, con gli operatori e volontari e con il pubblico di sostenitori.
Il mezzo informatico è indispensabile per l’interazione con gli Enti affidatari, con gli operatori e volontari e con il pubblico di sostenitori.
Giorgio Calderaro
D. La rete (cloud) viene utilizzata comunemente?
Sì, alcuni anni fa ho introdotto il coud come sistema di backup e di condivisione.
D. Come giudichi le risorse informatiche che generalmente sono usate in una no-profit per gestire i dati?
R. La tipologia di risorse informatiche è in generale adeguata alle esigenze. Si tenga presente che l’essenza della nostra attività è l’interazione con le persone.
C. Sicurezza
D. Come è garantita la sicurezza dei dati?
R. La sicurezza dei dati è garantita dal controllo dell’accesso ai locali dove sono archivi e sistemi, dall’utilizzo di password nell’accesso ai sistemi, nell’esistenza di sistemi automatici di backup, dall’esistenza di antivirus, dalla selezione del personale autorizzato all’utilizzo dei dati e dalla formazione.
D. Come vengono gestite (se lo sono) le copie dei dati?
R. Il cloud ci aiuta in merito.
D. Un eventuale data breach, come ritieni che possa essere gestito dalle realtà a te note?
R. Non esistono da noi dati importanti o sensibili non recuperabili per altra via se persi. L’eventuale accesso non autorizzato ai dati non può essere gestito se non attraverso l’interazione personale.
D. Ritieni che possa essere sufficiente? Cosa potrebbe aiutare?
R. Non so rispondere a questa domanda.
D. Informazione, consapevolezza, formazione
D. Qual’è la situazione riguardo la conoscenza degli obblighi che la nuova normativa pone?
R. La tematica della sicurezza dei dati e ben presente ai nostri operatori, per la specificità del loro ruolo. Una semplice attività di formazione li ha allineati rapidamente alla normativa.
D. Ritieni che gli operatori abbiano consapevolezza dell’importanza dei dati che trattano?
R. Sicuramente. I nostri operatori trattano abitualmente informazioni sensibili degli “utenti” dei servizi del Laboratorio e sanno benissimo che terzi che venissero a conoscenza anche di un solo dettaglio potrebbero compromettere il progetto personalizzato di integrazione sociale della persona interessata.
D. Dal punto di vista della formazione e dell’informazione sui requisiti che il GDPR pone quale secondo te è la situazione?
R. La situazione è sempre migliorabile, ma già adesso è sufficiente.
D. C’è consapevolezza dei rischi che si corrono nel trattare i dati?
R. Non esplicita. L’attenzione principale è, per i motivi innanzi spiegati, spontaneamente orientata verso la protezione da accessi indebiti, L’attenzione verso la perdita è mitigata dalle soluzioni tecnologiche adottate e condivise dopo qualche lieve incidente nel passato.
D. Sulle sanzioni?
R. No.
E. Adeguamento alla normativa
D. Le realtà del no-profit, dalla tua esperienza, come si stanno adeguando (se lo stanno facendo)?
R. L’adeguamento esiste nella sostanza, un po’ meno forse nella forma. La nostra realtà di no-profit è afflitta, come penso molte altre, da una cronica carenza di risorse e quelle specializzate che gestiscono le informazioni, soprattutto quelle sensibili, hanno oggettivamente difficoltà nel seguire nel dettaglio tutti gli aspetti della normativa; à la struttura organizzativa e tecnologica intorno che deve aiutarle in questo scopo.
D. Quali sono le difficoltà maggiori che incontrano?
R. Le difficoltà maggiori derivano dalla presenza di un gran numero di volontari che cooperano nelle attività, a cui è in qualche caso è delicato imporre direttive, e dalla cronica mancanza di budget, in termini di tempo e di risorse economiche, che affligge le organizzazioni di volontariato.
Le difficoltà maggiori derivano dalla cronica mancanza di budget, in termini di tempo e di risorse economiche, che affligge le organizzazioni di volontariato
Giorgio Calderaro
D. GDPR e no profit: cosa potrebbe essere d’aiuto?
R. Certamente una semplificazione burocratica. E poi fa specie l’attenzione rivolta dal legislatore alla tutela della privacy e non, ad esempio, alla qualità: l’ignorare un reclamo dovrebbe essere ugualmente grave.
Ringrazio Giorgio Calderaro per la disponibilità e la cortesia nel rispondere alle mie domande.
Se lavori in una no profit e vuoi portare la tua esperienza di adeguamento al GDPR o hai bisogno di un supporto per portarlo a termine contattami.
Se vuoi avere maggiori informazioni sulla no profit “Il laboratorio” visita il loro sito cliccando qui
Se sei parte di una no-profit e vuoi comprendere perchè non solo ci si deve adeguare al GDPR ma conviene farlo ascolta questo episodio del mio podcast Privacy4PMI
Se hai bisogno di chiarimenti sul processo di adeguamento, di un supporto per iniziarlo, proseguirlo o migliorarlo contattami
- via Telegram a @EdoardoFacchini
- via mail qui
