Privacy in Croce Rossa: esempio per l’applicazione della data protection a un comitato locale

Di innegabile attualità è il tema della compliance privacy degli Enti del Terzo Settore, oggetto di crescente attenzione per effetto della riforma del 2017, con l’istituzione del relativo Registro Unico Nazionale (RUNTS).

Tra questi, del tutto peculiare per dimensione, articolazione, attività e, di conseguenza, efficace applicazione della disciplina in materia di protezione dei dati personali, è l’Associazione della Croce Rossa Italiana – ODV, “ufficialmente riconosciuta dalla Repubblica Italiana con il decreto legislativo 28 settembre 2012, n. 178 quale Società volontaria di soccorso ed assistenza, ausiliaria dei poteri pubblici in campo umanitario, in conformità alle Convenzioni di Ginevra ed ai successivi Protocolli aggiuntivi, e quale unica Società Nazionale della Croce Rossa autorizzata ad esplicare le sue attività sul territorio italiano tramite i suoi organi e articolazioni territoriali”.

La trattazione che seguirà ha l’obiettivo di proporre delle modalità applicative della disciplina in materia di protezione dei dati personali – Regolamento (UE) 2016/679 (“GDPR”) e D.lgs. 196/2003 ss.mm.ii. [di seguito “Codice Privacy”] – e di fornire, dunque, uno strumento per l’efficace implementazione di un sistema di gestione privacy nel contesto di Comitato locale di Croce Rossa Italiana, articolazione territoriale dell’Associazione Nazionale. Ciò non può prescindere, chiaramente, da una panoramica sulla strutturazione della rete associativa di cui esso è parte.

Croce Rossa italiana e il movimento internazionale

La Croce Rossa Italiana, di cui ricorre il 160° anniversario dalla fondazione è parte dell’organizzazione di volontariato più grande al mondo, il Movimento Internazionale di Croce Rossa e Mezzaluna Rossa, costituita da un Comitato Internazionale (con sede a Ginevra), una Federazione Internazionale e da 191 Società Nazionali (tra le quali, appunto, la Croce Rossa Italiana), con oltre 16 milioni di volontari impiegati.

Si tratta di un Movimento ispirato a comuni principi di umanità, imparzialità, neutralità, indipendenza, volontarietà, unità ed universalità, impegnato nel garantire assistenza sanitaria e sociale alle popolazioni, sia in tempo di pace che in tempo di guerra.

Il comitato quale articolazione della Croce Rossa italiana

L’Associazione della Croce Rossa Italiana opera, sul territorio nazionale, attraverso 675 Comitati territoriali (Comitato Nazionale, Comitati Regionali, Comitati delle Province autonome di Trento e Bolzano, Comitati Locali).

Il Comitato di Croce Rossa Italiana è una ODV con personalità giuridica di diritto privato e svolge attività orientate al perseguimento di distinti ma interconnessi obiettivi:

• Obiettivo 1 – Salute: tutelare e proteggere la salute e la vita.
• Obiettivo 2 – Sociale: promuovere lo sviluppo dell’individuo e ridurre le cause di vulnerabilità individuali ed ambientali.
• Obiettivo 3 – Emergenza: preparare le comunità e dare risposta ad emergenze e disastri.
• Obiettivo 4 – Principi e Valori: disseminare il Diritto Internazionale Umanitario, i Principi Fondamentali ed i Valori Umanitari.
• Obiettivo 5 – Gioventù: promuovere lo sviluppo del giovane per renderlo agente di cambiamento nella comunità.
• Obiettivo 6 – Sviluppo: promuovere la crescita sostenibile e garantire livelli di efficacia, efficienza e integrità delle attività operative e dei processi di gestione.

Inquadramento dei ruoli privacy nel contesto di un comitato

Nella ricerca della corretta individuazione dei ruoli privacy all’interno di un Comitato di Croce Rossa non può non considerarsi, quale punto di partenza, l’Accordo di Contitolarità esistente tra l’Associazione Nazionale ed i Comitati territoriali.

All’interno del predetto accordo, di cui è pubblicata, in coerenza con le richieste dell’art. 26 GDPR, una sintesi sul sito web istituzionale (disponibile qui), vengono definiti gli ambiti di rispettiva responsabilità in relazione ai trattamenti posti in essere dalle Parti, ed in particolare, è stabilito che:

“Ricadono sotto la responsabilità dell’Associazione della Croce Rossa Italiana – ODV i trattamenti relativi alle seguenti categorie di dati personali: dati anagrafici, dati telefonici e telematici, dati sanitari, dati sull’occupazione, immagine, dati sull’istruzione e la cultura, dati sulla situazione familiare, dati sulla situazione economica e reddituale, dati sul patrimonio, dati sulle abitudini di vita e di consumo, dati su procedimenti giudiziari, raccolti per le finalità di erogazione di servizi di pubblico interesse, di natura socio-assistenziale, sanitaria e di risposta alle emergenze, di analisi e ricerca statistica, di valutazione del grado di soddisfazione del servizio erogato, nonché la gestione della piattaforma tecnologica utilizzata per acquisire e gestire i flussi di dati”.

“Ricadono sotto la responsabilità del Comitato territoriale di CRI i trattamenti relativi alle seguenti categorie di dati personali: dati anagrafici, dati telefonici e telematici, dati sanitari, dati sull’occupazione, immagine, dati sull’istruzione e la cultura, dati sulla situazione familiare, dati sulla situazione economica e reddituale, dati sul patrimonio, dati sulle abitudini di vita e di consumo, dati su procedimenti giudiziari, gestiti per le finalità di erogazione di servizi di pubblico interesse, di natura socio-assistenziale, sanitaria e di risposta alle emergenze, anche attraverso l’accesso alla piattaforma tecnologica”.

In estrema sintesi, è stabilito che rientrano nella titolarità del Comitato Nazionale i trattamenti connessi alle attività proprie dello stesso, nonché la gestione della piattaforma tecnologica a supporto delle attività. Rientrano, invece, nella titolarità dei Comitati locali i trattamenti connessi alle attività proprie degli stessi, coerenti con la strategia definita dal Comitato Nazionale (attualmente “Strategia 2030”), nonché l’utilizzo della piattaforma.

La piattaforma in questione, denominata “GAIA”, rappresenta lo strumento principale di governo dei flussi di dati e delle varie attività (gestione delle anagrafiche, attivazione dei corsi di formazione, programmazione dei servizi e dei turni, gestione dei mezzi ecc.).

Nell’ambito delle proprie attività (e nell’utilizzo della piattaforma) il Comitato locale è, dunque, Titolare del trattamento ed è, pertanto, destinatario dell’accountability (“responsabilità del trattamento”) di cui all’art. 24 GDPR.

Il Comitato è chiamato, pertanto, ad individuare ed istruire i soggetti che intervengono nel trattamento, vale a dire i volontari e, ove presenti nei Comitati maggiormente strutturati, i dipendenti, qualificabili come “Autorizzati al trattamento”.

Ad alcuni Comitati afferiscono poi delle Unità Territoriali, costituite su specifiche aree territoriali di competenza del Comitato stesso. In questo caso, i Responsabili delle Unità Territoriali possono essere inquadrati dal Titolare, ai fini di un’efficace implementazione del Sistema privacy del Comitato, come Soggetti Delegati ex art. 2-quaterdecies del Codice Privacy.

Il Comitato è poi chiamato ad individuare, tra i propri fornitori, quelli che effettuano trattamenti “per conto” dello stesso e a designarli quali “Responsabili del trattamento”, secondo quanto previsto dall’art. 28 GDPR, badando ad adottare un atto di designazione conforme alla Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021, relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento.

Quanto ai soggetti “passivi” del trattamento, vale a dire gli interessati, i cui dati sono oggetto di trattamento si distinguono categorie eterogenee, rappresentate principalmente dai volontari, dai dipendenti ove presenti e dagli utenti dei servizi offerti nell’ambito delle attività istituzionali.

Obbligo di designazione di DPO per i comitati?

Le attività tipiche dei Comitati di Croce Rossa, orientate agli obiettivi precedentemente elencati, comportano il trattamento di dati personali, prevalentemente appartenenti a “categorie particolari” (tra gli altri, dati relativi alla salute, dati idonei a rivelare l’origine razziale o etnica e dati relativi alla condizione reddituale) riferibili a categorie altrettanto particolari di interessati (su tutti minori, disabili ed indigenti).

È pacifico, dunque, che possa trovare applicazione, almeno, il requisito di cui alla lett. c), par. 1, dell’art. 37 GDPR per cui il Titolare del trattamento è chiamato a designare un Responsabile della Protezione Dati (o Data Protection Officer) quando: “le attività principali del titolare del trattamento (…) consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 …”.

Altri adempimenti privacy

Il Comitato, in quanto titolare del trattamento, è tenuto ad applicare tutte le prescrizioni derivanti dalla normativa in materia di protezione dei dati personali, ivi inclusi provvedimenti dell’Autorità Garante, Linee Guida EDPB ecc. e, in accountability, a dimostrare la conformità documentando:

1. l’analisi del contesto organizzativo interno;
2. la mappatura delle attività di trattamento e la valutazione dei rischi per ciascuna di esse, anche ai fini dell’individuazione dei trattamenti da sottoporre a DPIA, in quanto particolarmente rischiosi (si pensi ad esempio alle attività di trasporto in emergenza, o al trasporto di emocomponenti ed emoderivati), nonché delle finalità e delle relative basi giuridiche;
3. l’implementazione di un sistema documentale completo e coerente con l’applicazione dei principi e con le richieste della normativa in materia (informative per tutte le categorie di interessati, registro delle attività di trattamento, atti di designazione degli autorizzati al trattamento, atti di designazione dei responsabili del trattamento, DPIA, Procedure per la gestione delle richieste di esercizio dei diritti degli interessati o per la gestione di violazioni di dati personali);
4. formazione del personale autorizzato al trattamento dei dati personali, per quanto di propria competenza (si fa rinvio al par. successivo, dedicato al tema);
5. adempimenti specifici riguardanti, ove presenti, la videosorveglianza (a partire dai profili autorizzativi previsti dalla disciplina giuslavoristica) e il sito web istituzionale (inclusa la gestione compliant dei cookie).

La formazione dei volontari: obbligo dei comitati?

Se è pacifico che l’obbligo di formare il personale dipendente, ove presente, nonché gli incaricati di funzioni direttive e di indirizzo (componenti del Consiglio direttivo e Delegati tecnici) sia in capo ai Comitati, quali titolari del trattamento, discorso diverso riguarda la formazione di volontari.

Il volontario, infatti, accede all’Associazione registrandosi alla piattaforma GAIA (che, si ricorda, è di Titolarità del nazionale) ed iscrivendosi al c.d. “corso base”, attivato e gestito dal Comitato territoriale di riferimento.

Si tratta del momento ideale per la formazione degli aspiranti volontari, prima che gli stessi acquistino, superando il corso, lo status di “volontari” e vengano, quindi, assegnati al Comitato di appartenenza, entrando altresì nella sfera di titolarità del trattamento di quest’ultimo. Tant’è che la formazione obbligatoria in materia di Salute e Sicurezza sui luoghi di lavoro (SSLL) è erogata, mediante uno specifico modulo a frequenza obbligatoria denominato SICC, proprio all’interno del corso base.

È auspicabile, per quanto detto e per analogia rispetto alla formazione in materia di SSLL, che l’Associazione Nazionale di Croce Rossa possa prevedere l’attivazione di un modulo dedicato alla protezione dei dati personali, anch’esso a frequenza obbligatoria, al pari del SICC, all’interno del corso base, in modo da “abilitare” il futuro volontario al trattamento conforme dei dati personali (in gran parte, come detto, di natura particolare), cui sarà chiamato nello svolgimento dei servizi connessi alle attività istituzionali.

Il trasporto in emergenza: responsabilità del trattamento

L’attività di soccorso sanitario costituisce competenza esclusiva del Servizio Sanitario Nazionale (SSN).

In tale sistema è inserita la Croce Rossa Italiana, che in varie Regioni ha stipulato convenzioni con le ASL per l’espletamento del Servizio di soccorso e di Emergenza, svolto con personale prevalentemente volontario e competente.

Tali attività sono esercitate in campo nazionale a cura dei Comitati regionali e Locali della Croce Rossa Italiana.

• 118 e Pronto Soccorso
• 112 NUE (Numero di emergenza Unico Europeo).

Dal punto di vista dell’applicazione della disciplina in materia di protezione dei dati personali, in virtù dell’esclusività della competenza del SSN e dello svolgimento di tali servizi “per conto” dello stesso sulla base di un rapporto di convenzione con l’ASL territorialmente competente, il Comitato (Regionale o Locale) assume la qualifica di “Responsabile del trattamento” ex art. 28 GDPR e dovrà essere destinatario, pertanto, della relativa designazione da parte dell’ASL.

Si ricorda, a tal proposito, che il Responsabile del trattamento è obbligato alla tenuta ed all’aggiornamento di un Registro delle attività di trattamento (del Responsabile), secondo quanto previsto dall’art. 30, par. 2, GDPR.

Trattamento dati dei volontari: ricostruzione delle finalità

Nell’ambito dei numerosi ed eterogenei trattamenti effettuati da un Comitato CRI, in qualità di Titolare, l’indagine più complessa, per la specificità delle finalità, riguarda sicuramente il trattamento dei dati personali dei volontari.

Per praticità operativa, si riportano di seguito le finalità tipiche connesse al trattamento dei dati dei volontari nell’ambito di Comitato di Croce Rossa Italiana:

1. Perfezionamento dell’iscrizione all’Associazione e gestione delle attività associative:
   • Gestione anagrafica.
   • Copertura assicurativa.
   • Richiesta di disponibilità e gestione turni.
   • Conseguimento e conversione patenti CRI.
   • Attribuzione o revoca di deleghe e cariche direttive.
   • Registrazione presenze in servizio e rendicontazione attività.
   • Registrazione presenze alle Assemblee associative.
   • Invio di comunicazioni istituzionali (ivi comprese le convocazioni alle Assemblee associative).
   • Comunicazioni interne (anche attraverso gruppi chat).
2. Erogazione della formazione di competenza del Comitato locale:
   • Erogazione di corsi di I e II livello (catalogo corsi CRI).
   • Attività amministrative correlate alla pianificazione, gestione, svolgimento e verbalizzazione dei corsi (compresa la produzione dei relativi attestati).
   • Erogazione della formazione obbligatoria in materia di salute e sicurezza sui luoghi di lavoro.
3. Gestione delle vicende associative:
   • Riscossione quote associative annuali e rilascio ricevute.
   • Corresponsione rimborsi spese.
   • Gestione delle richieste di estensione, trasferimento e cancellazione.
   • Decadenza dallo status di associato (per mancato versamento della quota associativa o per altre cause di cui allo statuto).
   • Elettorato attivo e passivo alle cariche sociali.
   • Adozione di provvedimenti disciplinari.
4. Controllo sanitario (quinquennale per volontari di età inferiore a 65 anni e biennale per volontari di età superiore a 65 anni) o, ove prevista, sorveglianza sanitaria (Regolamento sulla tutela della sicurezza e della salute dei volontari” – CRI del 10 marzo 2018).

Per ciascuna finalità, il Comitato è chiamato ad individuare le più adeguate “basi giuridiche”, che rappresentano le condizioni di liceità del trattamento.