Privacy

La disciplina sulla privacy è contenuta nel Decreto Legislativo n. 196 del 2003, detto Testo Unico o Codice in materia di protezione dei dati personali, e successive modifiche ed integrazioni.
Il Codice raccoglie le disposizioni della precedente Legge n. 675/96, le leggi successive e i regolamenti attuativi.
Ai sensi del D.Lgs. 196/03, le Associazioni che trattano “dati personali”, ovvero qualsiasi informazione riferibile a persone fisiche e/o giuridiche, sono “titolari del trattamento”. Questi i loro principali obblighi:
• devono trattare i dati in modo lecito e secondo correttezza, soprattutto tutelando la riservatezza della persona o dell’ente cui i dati si riferiscono;
• possono raccogliere, registrare ed utilizzare i dati solo per scopi determinati, espliciti e legittimi (principalmente, se non esclusivamente, gli scopi indicati nello statuto);
• devono fare in modo che i dati siano esatti, se necessario aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi della raccolta e devono conservarli per un periodo di tempo non superiore a quello necessario per il raggiungimento di tali scopi;
• devono fornire all’interessato che conferisce i suoi dati all’Associazione (es. dati anagrafici al momento della richiesta di ammissione a socio, informazioni sanitarie del beneficiario ecc.), l’informativa e cioè una comunicazione orale o una lettera scritta nella quale spiegano chi è il titolare (Associazione), come si utilizzeranno i dati, a che scopo, a chi verranno comunicati, se verranno diffusi e altro ancora;
• devono assicurare a ogni interessato la possibilità di esercitare i diritti di cui all’art. 7 del Codice;
• possono nominare un “Responsabile del Trattamento”, e cioè una persona competente (può essere il Presidente, un Consigliere, un volontario, un dipendente o anche un professionista esterno) che vigili sul rispetto della disciplina in materia;
• devono individuare i soggetti (o le categorie di soggetti) che all’interno dell’Associazione trattano i dati, e nominarli “incaricati del trattamento” (art. 30 del Codice) fornendo loro le istruzioni per i trattamenti cartacei ed informatici;
• come regola generale devono chiedere il consenso all’interessato per il trattamento dei suoi dati personali comuni (art. 23 del Codice) e sensibili (art. 26 del Codice). La richiesta di consenso deve essere preceduta dall’informativa. In caso di dati comuni il consenso deve essere documentato per iscritto (es. annotazione dell’Associazione sul libro soci), in caso di dati sensibili deve essere manifestato in forma scritta (firma dell’interessato sul modulo);
• tuttavia, non devono chiedere il consenso ai loro aderenti o ai soggetti che hanno con l’Associazione contatti regolari, sempre che il trattamento sia rispondente agli scopi statutari, i dati non vengano comunicati a terzi o diffusi e le modalità del trattamento vengano previamente decise dall’Associazione (dal consiglio direttivo);
• non devono chiedere il consenso nemmeno nelle ipotesi indicate negli art. 24 e 26 del Codice (ad es. se il trattamento serve per adempiere agli obblighi assicurativi o previdenziali, o a salvaguardare la vita o l’incolumità fisica dell’interessato);
• non possono diffondere i dati sanitari (ovvero quei dati idonei a rivelare lo stato di salute), nemmeno su consenso dell’interessato;
• nel trattamento dei dati sensibili e sanitari devono seguire quanto prescritto nelle autorizzazioni generali del Garante per la Protezione dei Dati Personali n. 2 e n. 3 del 21/12/2005.
• nel trattamento dei dati giudiziari devono seguire quanto prescritto nell’autorizzazione generale del Garante n. 7 del 21/12/2005, che autorizza il trattamento quando è indispensabile per perseguire scopi determinati e legittimi individuati dall’atto costitutivo o dallo statuto;
• devono adottare le misure minime di sicurezza in base e nei casi di cui agli art. 33 e 34 del Codice, e le misure idonee ad evitare i rischi di distruzione e perdita dei dati, accesso non autorizzato e trattamento con corrispondente alle finalità della raccolta.