Incontro formativo per il terzo settore

1. Privacy e volontariato: confini
normativi e opportunità
Milano-Pavia, 30 novembre 2013
avv. Andrea Maggipinto

2. 2
Agenda
n
Scenario
n
Linee guida della disciplina
n
Il trattamento di dati sensibili e giudiziari
n
Adempimenti privacy
n
Q&A

3. 3
Origini
diritto alla privacy = “right to be let alone” *
* The Right to Privacy, di Louis Brandeis e Samuel Warren
(Harvard Law Review, 1890)
Privacy come rispetto del diritto all’inviolabilità della
persona e del diritto fondamentale a “vivere indisturbata”
Ø
diritto fondamentale della persona
Ø frontiera avanzata del diritto

4. 4
Nozione moderna
Dal diritto a “essere lasciato da solo” al diritto di mantenere
il controllo sulla circolazione delle informazioni :
Ø si differenza dal diritto alla riservatezza.
Ø acquista una portata più ampia: non solo informazioni inerenti
la vita privata, ma qualunque dato o informazione relativa a una
persona, anche se non coperta da riserbo.
Necessità di conciliare le esigenze di riservatezza
dell’individuo con le dinamiche della c.d. “Società
dell’informazione”
Ø la disciplina si riflette sulle operazioni che possono o che non
possono essere effettuate sui dati personali di un individuo

5. 5
Attuale scenario
Direttiva “Madre” 95/46/CE
Decisione Quadro 2008/977/GAI
Legge 675/96
Direttiva 97/66/CE
Direttiva 2002/58/CE (e s.m.i.)
D.Lgs. 196/2003 (e s.m.i.)

6. 6
Il “Codice Privacy” (D.Lgs. 196/2003)
Codice
u Disposizioni generali
u Disposizioni
relative a
specifici settori
u Tutela
sanzioni
dell’interessato e
Allegati
A) Codici di deontologia
B) Disciplinare tecnico
in materia di misure
minime di sicurezza
C) Trattamenti non
occasionali per
finalità giudiziarie o di
polizia

7. 7
Linee guida della disciplina
Ø
Ø
Quando si applica
Definizioni rilevanti
Ø
Ø
Ø
Ø
Principi cardine
Ø
Ø
Ø
Ø
Ø
Ø
Dati personali
Soggetti coinvolti
Operazioni di trattamento
necessità
finalità e proporzionalità
Informativa e consenso
Dati sensibili
Ulteriori adempimenti
Sanzioni

8. 8
I soggetti coinvolti
Titolare del
trattamento
Responsabile
del trattamento
Incaricato
del
trattamento
Incaricato
del
trattamento
Responsabile
del trattamento
Incaricato
del
trattamento
Incaricato
del
trattamento
Incaricato
del
trattamento

9. 9
Quando si applica il Codice Privacy?
Art. 5:
§ Titolare stabilito nel territorio dello Stato o in un luogo sottoposto
alla sua sovranità (ancorché i dati siano detenuti all’estero)
§ Nel caso in cui il titolare sia stabilito in un altro Paese dell’Unione
Europea, troverà applicazione la legge del Paese di stabilimento
§ Trova applicazione il Codice privacy anche nell'ipotesi di
trattamento effettuato da soggetto stabilito nel territorio di un
Paese non appartenente all'Unione europea che impiega
strumenti situati nel territorio dello Stato (escluso il mero transito)
§ Il trattamento di dati personali effettuato da persone fisiche per
fini esclusivamente personali è soggetto all'applicazione del
presente codice solo se i dati sono destinati ad una
comunicazione sistematica o alla diffusione. Si applicano in ogni
caso le disposizioni in tema di responsabilità e di sicurezza dei
dati di cui agli articoli 15 e 31.

10. 10
Caso particolare: Caritas diocesana
Art. 181 comma 6 Codice Privacy (disposizioni transitorie):
“Le confessioni religiose che, prima dell'adozione del
presente codice, abbiano determinato e adottato
nell'ambito del rispettivo ordinamento le garanzie di cui
all'articolo 26, comma 3, lettera a), possono proseguire
l'attività di trattamento nel rispetto delle medesime”.
Ø Decreto
generale CEI “Disposizioni per la tutela del diritto
alla buona fama e alla riservatezza”

11. 11
Caso particolare: Caritas diocesana
Si applica il Decreto generale CEI (e non la disciplina italiana)
solo se:
n l’attività oggetto del trattamento è di religione e di culto e si
realizza comunque per finalità pastorali di natura
esclusivamente religiosa
n i dati raccolti non sono comunicati e/o diffusi all’esterno
della Chiesa Cattolica
Nel caso in cui nei Centri di Ascolto si svolga primariamente
un’attività assistenziale di “segretariato sociale” o ci sia
comunque comunicazione e condivisone dei dati con altri
Enti non religiosi, occorre dare piena applicazione al
Codice della Privacy.

12. 12
Organizzazioni di Volontariato
Volontariato: attività prestata in modo personale, spontaneo
e gratuito, tramite l'organizzazione di cui il volontario fa
parte, senza fini di lucro, esclusivamente per fini di
solidarietà (Legge 266 del 11.8.1991; D.Lgs. 460 del
4.12.1997)
O.d.V.
Ø
soggetti privati
sottoposte alla disciplina generale in materia di
trattamento dei dati e alla disciplina specifica in materia
di trattamento di dati nel settore privato.

13. 13
Diritti ..
L’interessato ha diritto di ottenere:
n
l’accesso ai propri dati
n
l’aggiornamento o la rettifica dei dati
n
l’integrazione dei dati
n
la cancellazione dei dati trattati in violazione
della legge o del consenso
n
l’attestazione dell’avvenuto aggiornamento,
rettifica, integrazione o cancellazione

14. 14
.. esercizio dei diritti
Esercizio dei diritti (art. 8):
Ø senza formalità, anche tramite un incaricato
Ø quando non riguarda dati di carattere oggettivo, può avere
luogo salvo che concerna la rettificazione o l’integrazione di
dati personali di tipo valutativo, relativo a giudizi, opinioni o
altri apprezzamenti di tipo soggettivo
Modalità di esercizio (art. 9):
Ø lettera raccomandata, telefax o posta elettronica, e anche
oralmente
Riscontro all’interessato (art. 10):
Ø comunicazione all’interessato (entro 15 giorni), in forma
intelligibile, anche oralmente

15. 15
Principi cardine del trattamento dati
Ø
Principio di necessità (art.3)
Ø
Principio di finalità (art.11, comma 1, lett. b)
Ø
Principio di proporzionalità (art.11, comma 1, lett. d)

16. 16
Informativa privacy (art.13)‫‏‬
v
È il più importante diritto riconosciuto dal Codice, ed è
anche il primo strumento di controllo.
v
L’informativa soddisfa l’esigenza di trasparenza ed è un
requisito centrale del sistema di tutela dei dati.
v
La privacy è un diritto partecipato (diritto a controllare il
più possibile il flusso dei propri dati personali). Perché
l’individuo possa “seguire” i dati che lo riguardano, è
necessario fornire precise informazioni sull'utilizzo dei
suoi dati.

17. 17
Consenso (al trattamento)
Ø
Per soggetti privati ed enti pubblici economici vige il
principio del consenso (art. 23).
Condizioni per la validità del consenso:
q Espresso
q Libero
q Specifico
q Informato
Ø
Ø
Documentato per iscritto (per dati comuni)‫‏‬
Prestato in forma scritta (per dati sensibili)

18. 18
Casi di esclusione (art. 24)
Il consenso non è richiesto se il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi contrattuali o per
adempiere a specifiche richieste dell'interessato nella
fase pre-contrattuale;
c) riguarda dati provenienti da pubblici registri, elenchi, atti
o documenti conoscibili da chiunque;
d) riguarda dati relativi allo svolgimento di attività
economiche, trattati nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
[...]

19. 19
Casi di esclusione (art. 24)
e) è necessario per la salvaguardia della vita o dell'incolumità
fisica di un terzo. Se non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di
intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da
un familiare, da un convivente o, in loro assenza, dal
responsabile della struttura;
f) con esclusione della diffusione, è necessario ai fini dello
svolgimento delle investigazioni difensive o, comunque, per
far valere o difendere un diritto in sede giudiziaria;
g) con esclusione della diffusione, è necessario, nei casi
individuati dal Garante sulla base dei princìpi sanciti dalla
legge, per perseguire un legittimo interesse del titolare o di un
terzo destinatario dei dati, qualora non prevalgano i diritti e le
libertà fondamentali, la dignità o un legittimo interesse
dell'interessato (bilanciamento di interessi);

20. 20
Casi di esclusione (art. 24)
h) con esclusione della comunicazione all'esterno e della
diffusione, è effettuato da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti regolari o ad
aderenti, per il perseguimento di scopi determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o dal contratto
collettivo, e con modalità di utilizzo previste espressamente
con determinazione resa nota agli interessati all'atto
dell'informativa ai sensi dell'articolo 13 (v. anche art. 26 c. 4);
i) è necessario, in conformità ai rispettivi codici di deontologia di
cui all'allegato A), per esclusivi scopi scientifici o statistici,
ovvero per esclusivi scopi storici presso archivi privati
dichiarati di notevole interesse storico;
i-bis) riguarda dati contenuti nei curricula;
i-ter) con esclusione della diffusione e fatto salvo quanto previsto
dall'articolo 130 del presente codice, riguarda la
comunicazione di dati tra società, enti o associazioni con
società controllanti, controllate o collegate.

21. 21
Dati sensibili: consenso e autorizzazione
Ai sensi dell'art. 26, comma 1, del Codice, i soggetti
privati e gli enti pubblici economici possono trattare i
dati sensibili solo:
(i) previa autorizzazione di questa Autorità
(ii) e, ove necessario, con il consenso scritto degli
interessati, nell'osservanza dei presupposti e dei limiti
stabiliti dal Codice, nonché dalla legge e dai
regolamenti.

22. 22
Autorizzazioni generali
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Autorizzazione generale n. 1/2012 al trattamento dei dati sensibili
nei rapporti di lavoro
Autorizzazione generale n. 2/2012 al trattamento dei dati idonei a
rivelare lo stato di salute e la vita sessuale
Autorizzazione generale n. 3/2012 al trattamento dei dati sensibili
da parte degli organismi di tipo associativo e delle fondazioni
Autorizzazione generale n. 4/2012 al trattamento dei dati sensibili da
parte dei liberi professionisti
Autorizzazione generale n. 5/2012 al trattamento dei dati sensibili da
parte di diverse categorie di titolari
Autorizzazione generale n. 6/2012 al trattamento dei dati sensibili da
parte degli investigatori privati
Autorizzazione generale n. 7/2012 al trattamento dei dati a
carattere giudiziario da parte di privati, di enti pubblici economici e
di soggetti pubblici
Autorizzazione generale n. 8/2012 al trattamento dei dati genetici
Autorizzazione generale n. 9/2012 al trattamento dei dati personali
effettuato per scopi di ricerca scientifica

23. 23
Dati giudiziari (senza consenso, ma..)
Art. 27. Garanzie per i dati giudiziari
1. Il trattamento di dati giudiziari da parte di privati o di enti
pubblici economici è consentito soltanto se autorizzato da
espressa disposizione di legge o provvedimento del Garante che
specifichino le rilevanti finalità di interesse pubblico del
trattamento, i tipi di dati trattati e di operazioni eseguibili. Si
applica quanto previsto dall'articolo 21, comma 1 bis.
[art. 21 c. 1. bis.: Il trattamento dei dati giudiziari è altresì
consentito quando è effettuato in attuazione di protocolli d'intesa
per la prevenzione e il contrasto dei fenomeni di criminalità
organizzata stipulati con il Ministero dell'interno o con i suoi uffici
periferici di cui all'articolo 15, comma 2, del decreto legislativo 30
luglio 1999, n. 300, previo parere del Garante per la protezione
dei dati personali, che specificano la tipologia dei dati trattati e
delle operazioni eseguibili]

24. 24
Autorizzazione generale n. 7/2012
Autorizza il trattamento dei dati giudiziari di cui all'art. 4,
comma 1, lett. e) del Codice, per le finalità di rilevante
interesse pubblico ivi specificate e secondo le prescrizioni
indicate.
Prima di iniziare o proseguire il trattamento, i sistemi
informativi e i programmi informatici sono configurati
riducendo al minimo l'utilizzazione di dati personali e di
dati identificativi, in modo da escluderne il trattamento
quando le finalità perseguite nei singoli casi possono essere
realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare
l'interessato solo in caso di necessità, in conformità all'art. 3
del Codice.

25. 25
Notifica al Garante (art. 37)
Ø
Ø
Ø
Ø
Generale assenza dell’obbligo
Alcuni trattamenti oggetto di notifica:
q dati idonei a rivelare la vita sessuale o la sfera psichica trattati
da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
q dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
q dati sensibili registrati in banche di dati a fine di selezione del
personale per conto terzi, nonché dati sensibili per sondaggi di
opinione, ricerche di mercato e altre ricerche campionarie;
Invio telematico con firma digitale;
I titolari non tenuti alla notificazione forniscono le notizie
contenute nel modello di notifica a chi ne fa richiesta.

26. 26
Misure di sicurezza e privacy
Art. 31
d.lgs.
196/2003
Art. 33
d.lgs.
196/2003
Misure “idonee”
Misure “minime”
Misure di sicurezza
individuabili sulla base di
soluzioni tecniche
concretamente
disponibili
Individuate dal
Disciplinare tecnico
(allegato B)‫‏‬
Responsabilità
civile
Responsabilità
penale

27. 27
Condivisione di dati
Ente
Ente
Ente
Ente
Ente

28. 28
PA e organizzazioni di volontariato
Art. 20 (Dati sensibili e PA)
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è
consentito solo se autorizzato da espressa disposizione di
legge nella quale sono specificati i tipi di dati che possono
essere trattati e di operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, il trattamento è consentito solo in
riferimento ai tipi di dati e di operazioni identificati e resi
pubblici a cura dei soggetti che ne effettuano il trattamento.
Art. 70 (Volontariato): definisce di rilevante interesse pubblico
le finalità di applicazione della disciplina in materia di rapporti
tra i soggetti pubblici e le organizzazioni di volontariato.

29. 29
Altre finalità di rilevante interesse
Art. 73: provvede a definire di rilevante interesse pubblico le
finalità socio-assistenziali, con particolare riferimento a:
n interventi di sostegno psico-sociale e di formazione in
favore di giovani o di altri soggetti che versano in condizioni
di disagio sociale, economico o familiare;
n interventi anche di rilievo sanitario in favore di soggetti
bisognosi o non autosufficienti o incapaci, ivi compresi i
servizi di assistenza economica o domiciliare,di
accompagnamento;
n assistenza nei confronti dei minori, anche in ordine a
vicende giudiziarie;
n indagini psico-sociali relative a provvedimenti di adozione
anche internazionale;
n …

30. 30
Altre finalità rilevanti
n
n
n
compiti di vigilanza per affidamenti temporanei;
iniziative di vigilanza e di sostegno in riferimento al
soggiorno di nomadi
assegnazione di alloggi di edilizia residenziale pubblica;

31. 31
La Privacy di domani
Necessità di un nuovo quadro giuridico per la protezione
dei dati personali nell’Unione Europea
q Regolamento
Europeo del Parlamento europeo e del
Consiglio concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali e la libera
circolazione di tali dati (regolamento generale sulla
protezione dei dati)
q Direttiva
del Parlamento europeo e del Consiglio
concernente la tutela delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, e la
libera circolazione di tali dati

32. 32
Verso una nuova disciplina
v
v
v
v
v
v
v
v
v
v
Privacy by Design
Accountability
Minimizzazione dei dati
Conservare documenti sul “modello organizzativo e di
sicurezza privacy”
Diritto all’oblio (salvo però specifici obblighi di legge,
garanzie della libertà di espressione e continuità della
ricerca storica)
Diritto dell’interessato alla "portabilità del dato"
Maggiori poteri, anche sanzionatori, del Garante
Notifica delle violazioni all’Autorità
Nomina del c.d. “Data Protection Officer”
Introdotto il requisito del “privacy impact assessment”

33. 33
Grazie per l’attenzione.
avv. Andrea Maggipinto
www.maggipinto.org
andrea.maggipinto@gmail.com