Valutazione di impatto privacy per Fondazione Aquilone Onlus
ex art. 35 Reg. UE 2016/679
Introduzione
La seguente valutazione di impatto privacy (DPIA – Data Protection Impact Assesment) intende fornire la natura, l’oggetto, il contesto e le finalità del trattamento effettuato dal Titolare nell’ambito della propria attività professionale.
La presente valutazione di impatto è obbligatoriamente prevista ai sensi del provvedimento del Garante Privacy n. 467 dell’11 ottobre 2018 che all’Allegato 1 elenca le “tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto”, il n. 6 di tale elenco include “6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).”
Si evidenzia, in ogni caso, che la presente valutazione di impatto privacy viene svolta anche in un’ottica di accountability, in considerazione del tipo di dati trattati, rientranti nelle categorie particolari di dati di cui all’art. 9 Reg. UE 2016/679, e della circostanza che tra gli interessati del trattamento figurano soggetti vulnerabili.
I dati trattati sono raccolti conformemente a:
– Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) pubblicato su Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed entrato in vigore il 25 Maggio 2016, con effettiva applicazione dal 25 maggio 2018
– Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un elevato rischio” ai sensi del regolamento 2016/679, adottate il 4 aprile 2017 (versione successivamente emendata il 4 ottobre 2017)
– Criteri riferiti a una DPIA accettabile emanati dal Garante della Privacy;
– D.lgs 101/2018 contenente “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/64/CE (regolamento generale sulla protezione dei dati).”
Il presente documento sarà aggiornato alla luce delle modifiche normative e organizzative.
1.1 Descrizione sistematica del Trattamento
Visto l’art. 35 par. 7 lett a) Reg. UE 2016/679 nella presente valutazione si definiscono:
1.2 Contesto e finalità del trattamento
Il trattamento dei dati avviene nell’ambito delle molteplici attività della fondazione che riguardano l’assistenza e la promozione dell’autonomia di disabili, bambini, giovani e anziani, attraverso progetti di cooperazione con i servizi sociali del Comune di Milano. Il trattamento dei dati avviene su supporto cartaceo e informatico.
La Fondazione oltre ad avere delle strutture deputate alla permanenza degli ospiti, gestisce e organizza centri diurni per anziani, minori e disabili, attività di aiuto allo studio, spazi di aggregazione tra persone, anche aperti al quartiere in cui si trova ad operare.
La Fondazione opera in 31 strutture con una media di 510 persone al giorno accolte e circa 1.651 persone accolte l’anno per 75.280 interventi, la maggior parte dei quali sono rivolti alla scuola dell’infanzia di via Acerbi 14 (15.000 interventi annui), 18.000 interventi quali custodi sociali in zona 9 a Milano, 15.000 interventi del Servizio Domiciliarità in piazza Bruzzano 8 e circa 12.000 interventi annui di assistenza educativa presso le scuole. Tali interventi non sempre comportano la presa in carico dell’utente. In tal caso infatti vi è solo un contatto “superficiale” con l’utente attraverso il quale si raccolgono solo dati anagrafici e il numero di telefono. Infatti sebbene il numero di interventi risulti considerevole pari a circa 75.000, in realtà il numero di persone che ricevono realmente un servizio di assistenza è relativamente contenuto poiché si registrano circa 1650 interventi di cui peraltro solo alcuni giornalieri, per i quali è previsto anche il trattamento di dati sensibili, mentre i restanti trattamenti sono mensili per i quali non sempre è richiesto il trattamento di dati sensibili.
Il trattamento dei dati avviene sia in modalità cartacea che telematica.
In particolare, per le attività volte ai privati e le comunicazioni a loro destinate, la comunicazione avviene in cartaceo (es. moduli di iscrizione ai relativi servizi e i fascicoli delle persone prese in carico dalla Fondazione), mentre altre comunicazioni e gran parte dei dati e delle comunicazioni scambiati con gli enti pubblici avviene per via telematica anche attraverso gli appositi portali predisposti dagli enti di riferimento secondo le misure di sicurezza da questi adottate (portale del Comune di Milano, portali dei servizi sociali, portale dell’ATS Regione Lombardia).
1.3 Dati personali oggetto del trattamento
Il trattamento viene effettuato su una serie di dati personali di identificazione (nome, cognome, indirizzo di residenza, contatto e-mail e telefonico, esercente la responsabilità genitoriale/tutore/amministratore di sostegno), la natura delle attività della Fondazione rende altresì necessario il trattamento di dati personali rientranti nelle particolari categorie di cui all’art. 9 Reg. UE 2016/679, quali eventuali patologie, disabilità, il percorso scolastico relativamente ai progetti di aiuto allo studio e/o recupero scolastico, lotta alla dispersione scolastica, avvio al mondo del lavoro, relazioni dei servizi sociali che descrivano situazioni di fragilità sociale, economica, salutare e/o in relazione a provvedimenti del Tribunale dei Minori (ad es. piani di rieducazione, ecc.)
1.4 Periodo di conservazione
I dati sono conservati su supporto cartaceo e/o telematico per il tempo della durata del rapporto con la persona e per il tempo successivo previsto dalle norme in materia di conservazione dei documenti.
1.5 Descrizione funzionale del flusso di dati e responsabili
I dati in cartaceo sono conservati negli appositi faldoni conservati nella direzione della Fondazione. Alcuni dati relativi ai piani terapeutici dei disabili ospiti delle strutture socio sanitarie della Fondazione (Comunità Alloggio Socio Sanitaria “Stella Polare” e Centro Diurno Disabili “Sorriso”) sono stampati e custoditi in appositi locali chiusi a chiave e ad accesso riservato. Tale adempimento è necessario per consentire al personale socio sanitario operante di consultare agevolmente il piano terapeutico al momento della predisposizione dei farmaci da somministrare ai disabili ospiti della struttura.
L’infrastruttura di rete si basa su una rete di n.ro 5 pc della direzione e della amministrazione, collegati al server interno della Fondazione, oltre a n.ro 10 pc portatili che vengono utilizzati dai dipendenti della Fondazione per finalità di documentazione.
Le comunicazioni con l’ATS (ex ASL) avvengono tramite gli appositi portali predisposto da Regione Lombardia, mentre le comunicazioni con i servizi sociali del Comune di Milano avvengono per lo più via email.
Per la promozione delle attività della Fondazione esiste un servizio di newsletter che viene gestito attraverso Mailchimp.
Il sito internet della fondazione, nel quale sono indicati i tipi di servizi offerti alla collettività, poggia sul servizio server offerto da Host.it, i cui data center sono situati in Europa. La navigazione è protetta da firewall e antivirus aggiornati periodicamente.
1.6 Codice di condotta
Si evidenzia che non sono stati emanati Codici di Condotta ai sensi del Regolamento UE 2016/679.
2 VALUTAZIONE DI NECESSITÀ E PROPORZIONALITÀ DEL TRATTAMENTO
Visto l’art. 35 par. 7 lettera b, si tiene conto di quanto segue.
2.1 Finalità specifiche, esplicite e legittime
I dati sono raccolti in maniera esplicita, dando comunicazione scritta e ottenendo il consenso da parte degli utenti e dei rispettivi legali rappresentanti che chiedono l’accesso ai servizi offerti dalla Fondazione in occasione della presentazione della domanda di accesso allo specifico servizio.
Il trattamento dei dati è limitato alla funzione specifica del contratto. I dati raccolti, secondo il “principio di minimizzazione dei dati” sono quelli necessari alla gestione del rapporto contrattuale e alla somministrazione delle prestazioni offerte dalla Fondazione in conformità alle regole dell’arte e alle normative regionali e comunali nei settori dei servizi sociali, dell’assistenza scolastica e/o domiciliare.
Il rapporto di lunga durata con gli utenti impone la conservazione e il costante aggiornamento dei loro dati, fatti salvi i diritti di recesso e opposizione al trattamento da parte degli interessati e il rispetto dei requisiti legali.
2.2 Liceità del trattamento
In considerazione delle previsioni dell’art. 6 Reg. UE 2016/679, la liceità del trattamento deriva dall’esplicito consenso dell’utente del servizio, o dei genitori per gli utenti minori e/o incapaci d’agire. Tale consenso viene rilasciato in calce alla domanda di iscrizione al servizio sotto l’informativa sul trattamento dei dati personali, ex art. 6 par. 1 lett. a, b, f, Reg. UE 2016/679,
I dati richiesti sono necessari per l’erogazione del servizio nell’interesse dell’utente.
2.3 Diritti degli interessati
Visti gli art. 12 “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, 13 “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, 14 “Informazioni da fornire qualora i dati personali non siano ottenuti presso l’interessato”, 15 “Diritto di accesso dell’interessato”, 16 “Diritto di rettifica”, 17 “Diritto alla cancellazione”, 18 “Diritto di limitazione del trattamento”, 19 “Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento”, 20 “Diritto alla portabilità dei dati”, 21 “Diritto di opposizione”, si specifica che i dati raccolti sono organizzati in parte in un archivio cartaceo conservato nella direzione della Fondazione, mentre l’archivio informatico è conservato sul server della Fondazione a cui ha accesso solo il Direttore della Fondazione. I dati, tuttavia, vengono raccolti in modo informatico dalle postazioni dei servizi attraverso i computer portatili e memorizzati su chiavette usb che vengono consegnate alla direzione della Fondazione a fine giornata e da lì archiviate sul server.
Non sono installate telecamere e/o altre forme di controllo.
È stato creato l’indirizzo privacy@fondazioneaquilone.org a cui inviare le richieste in relazione al trattamento dei dati e per l’esercizio dei diritti degli interessati.
2.4 Garanzie per i trasferimenti internazionali di dati
In considerazione della rilevanza dei dati trattati, questi non vengono trasferiti all’estero e vengono comunicati esclusivamente agli enti pubblici preposti alla tutela dei soggetti che usufruiscono dei servizi erogati dalla Fondazione.
La Fondazione utilizza il canale email per comunicare con i servizi sociali del Comune di Milano (su richiesta di questi ultimi).
3 VALUTAZIONE DEI RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI
Alla luce delle linee guida del Gruppo 29 emanate “in materia di valutazione di impatto sulla protezione dei dati e determinazione delle possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento UE 2016/679” in data 4 aprile 2017 e modificate il 4 ottobre 2017, nonché del provvedimento del Garante Privacy n. 467 dell’11 ottobre 2018 che all’Allegato 1 elenca le “tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto”, il n. 6 di tale elenco include “6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)”, si evidenzia che il trattamento rientra nei casi per cui la Valutazione di impatto della privacy (DPIA) è obbligatoria.
Come visto, non vengono effettuate attività di profilazione e/o monitoraggio sistematico su larga scala né sono utilizzati trattamenti automatici.
Il trattamento dei dati eseguito avviene nell’ambito e per le finalità del rapporto contrattuale con l’utente e/o il suo esercente la responsabilità genitoriale, previo consenso espresso.
4 COINVOLGIMENTO DEI SOGGETTI INTERESSATI
Considerate le previsioni dell’art. 35 par. 2 e 9, le attività della Fondazione avvengono con il consenso degli utenti e su loro espressa domanda di accesso ai servizi erogati, essendo l’attività contrattuale finalizzata alla tutela dei soggetti in condizioni di debolezza e alla promozione delle loro competenze e ricerca di forme di autonomia personale.
Milano, 20 maggio 2018