Un incidente che ha causato la perdita di dati involontaria da parte dell’agenzia delle Nazioni Unite per l’infanzia, (Unicef) ci dà l’occasione per fare il punto sulla necessità, per le associazioni non-profit e organizzazioni non governative (non appartenenti alla sfera delle Nazioni Unite), di rendere le loro attività conformi al Gdpr.
L’incidente all’Unicef
L’agenzia delle Nazioni Unite per l’infanzia, (Unicef) , ha fatto trapelare inavvertitamente informazioni personali appartenenti a migliaia di utenti del suo portale di apprendimento online Agora.
Il sito web offre corsi di formazione gratuiti al personale Unicef e ai membri del pubblico su questioni quali i diritti dei minori, l’azione umanitaria, la ricerca e i dati.
Il 26 agosto, un’e-mail contenente i dettagli personali di 8.253 utenti iscritti ai corsi di immunizzazione è stata inviata a quasi 20.000 utenti di Agora.
Alla domanda sull’incidente, il capo dei media dell’Unicef, Najwa Mekki, ha detto a Devex in un’e-mail: “Questa è stata una perdita di dati involontaria causata da un errore, un utente interno ha inviato un rapporto che includeva un foglio di calcolo con le informazioni personali di base di alcuni dei nostri utenti. Le informazioni personali trapelate accidentalmente includono i nomi, l’e-mail indirizzi, stazioni di servizio, genere, organizzazione, nome del supervisore e tipo di contratto delle persone che si erano iscritte a uno di questi corsi predisposti dall’Unicef”.
Mekki ha scritto che l’Unicef non ha segnalato il caso ad alcuna autorità, aggiungendo che “le entità dell’ONU non sono soggette al GDPR“.
L’Unicef si è scusato per l’incidente e ha aggiunto che “una valutazione interna e una revisione sono state avviate non appena il problema è stato segnalato e il problema è stato rapidamente risolto per garantire che non si ripetesse più”.
Sarah Telford, che guida il Centro delle Nazioni Unite per i dati umanitari a L’Aia, ha detto che l’incidente è stato sfortunato, ma ha elogiato l’Unicef per essere stato schietto nella sua risposta. Telford ha aggiunto che il centro ha appena pubblicato una nota di orientamento, che spera possa diventare la migliore pratica su come le organizzazioni umanitarie possono gestire gli incidenti di dati.
Una deroga che non vale per tutti
Attenzione, associazioni non-profit di volontariato non appartenenti all’ONU hanno bisogno di competenze interne sulla sicurezza dei dati perché non sono esenti dal nuovo GDPR.
Per questo anche Ong e associazioni saranno tenute ad adeguarsi alle misure previste per garantire la protezione dei dati dei propri dipendenti, sostenitori, volontari e di altri stakeholder.
Poiché la raccolta di fondi e il marketing sono attività primarie per enti di beneficenza e organizzazioni senza scopo di lucro queste hanno lo stesso obbligo di rispettare il GDPR di qualsiasi altra società.
Secondo l’Information Commissioner’s Office (ICO), le organizzazioni non-profit possono essere “responsabili del trattamento dei dati” e “titolari del trattamento dei dati” (a seconda della situazione) e pertanto soggette alla conformità al GDPR in diversi modi, che possono includere:
- Come datore di lavoro che elabora dati di volontari, fiduciari e dipendenti
- Come fornitore di servizi ai beneficiari
- Come organizzazione di raccolta fondi o campagne
Allo stesso modo, anche le singole raccolte di fondi devono essere istruite sul GDPR in quanto potrebbero agire come responsabili del trattamento dei dati se raccolgono dati dei sostenitori durante la raccolta di fondi per conto di un’organizzazione no profit. Se disponi di una campagna peer-to-peer attuale o in arrivo, è tua responsabilità informare le raccolte di fondi e assicurarti che anche i loro processi siano conformi.
Affinché una organizzazione non-profit sia conforme al GDPR, deve essere trasparente e meticolosa quando si tratta della raccolta e del trattamento dei dati personali. Questo vale per i dati di dipendenti, volontari, donatori, sostenitori, chiunque da cui l’organizzazione raccolga dati personali. Le organizzazioni devono disporre di una politica e una procedura scritte per il modo in cui gestiscono i dati personali e rispettano i principi sulla privacy.
