breaking news New
  • 12:00 pm Il ruolo del portiere-libero Non solo abilità podalica, ma anche e soprattutto grande visione di gioco e capacità di essere parte integrante dell’azione: ecco come si è evoluto il ruolo del cosiddetto “sweeper keeper”
  • 2:20 pm L’inclusione sociale prima di tutto Squadra femminile, Scuola calcio per persone con disabilità intellettiva (EDI), hockey su sedia a rotelle e tanto altro. Esiste un club, a Valencia, che ha fatto della socializzazione la sua ragione di vita. E ne va molto orgoglioso
  • 12:00 pm World Cup ora sei più vicina Dopo un avvio in salita gli Azzurri di Musti superano a pieni voti il Main Round di avvicinamento al Mondiale in Lituania. Prima, però, c’è da superare un “girone di ferro”
  • 11:00 am Una voglia mondiale di vincere Dopo il trionfo europeo l’instancabile capitano azzurro sogna per l’Italia il titolo più importante: quello di campione del mondo
  • 10:47 am Gli ESports conquistano Coverciano E'partito dal “Tempio del Calcio” di Coverciano l’itinerante Road Show 2k20,sotto forma di torneo,organizzato dalla Lnd per dare ampio spazio a una tematica attuale e inclusiva come quella degli ESports

Il tema della privacy nel Terzo Settore

Sono trascorsi ormai più di due lustri dalla emanazione del codice in materia di protezione dei dati personali, eppure non si può ancora affermare con risoluta certezza che le relative disposizioni siano state adeguatamente assimilate dalla società civile, nonostante lo stesso Garante fin dall’anno 2004, anno di entrata in vigore, avesse, a partire  da allora, predisposto linee guida uniformi per tutti i settori destinatari della nuova disciplina, con l’evidente intento di facilitarne l’applicazione ed ancorché le nuove norme, rispetto a quelle originarie in materia, cioè la legge 675/1996 e il successivo D.Lgs. 467/2001, ne abbiano ridimensionato gli adempimenti.

Successivamente, grazie all’evoluzione normativa, si sono potute abbandonare le richiamate linee guida, informate a criteri prettamente aziendalistici poco adatti alle esigenze delle imprese di piccole dimensioni ed ai liberi professionisti, ma nemmeno adeguate né agli organismi pubblici, né tantomeno agli Enti no profit.

Ciò, in particolare, grazie all’emanazione dell’art. 40 D.L.201/2011, con il quale viene radicalmente modificato l’intero campo di applicazione della disciplina in quanto esclude ogni rilevanza, ai fini del trattamento dei dati personali, di tutti i dati concernenti informazioni relative a Enti collettivi, per cui tutti gli adempimenti, la modulistica  e le misure, comprese quelle di sicurezza, a questi riferibili non hanno più ragione d’essere.Con ciò non significa che i dati degli Enti Collettivi, tra i quali si annoverano le Società/Associazioni Sportive Dilettantistiche, possano essere utilizzati impunemente, ma semplicemente che le norme di riferimento per individuare la correttezza e la liceità dell’utilizzo dei dati sono altre:

 – il codice civile, per la tutela della onorabilità, del nome, dell’immagine e dei segni distintivi della Società o dell’ente non commerciale;

 – il codice penale, per la tutela della corrispondenza e della onorabilità;

 – leggi specifiche, quali la legge sul diritto di autore, etc.

Pertanto, ogni comportamento contra legem in violazione della disciplina organica per la tutela dei diritti della personalità, in particolare il diritto alla riservatezza ed il diritto alla identità personale, contenuta nel codice è sanzionabile sia sotto il profilo amministrativo che penalmente.

Si possono così rilevare:

Violazioni amministrative (artt. 161-166):

– Omessa o inidonea informativa all’interessato, come disposto dall’art. 13 del Codice;

– Cessione dei dati in violazione dell’art. 16, comma 1, lett. b) del Codice o di altre disposizioni in materia di disciplina dei dati personali;

– Violazione delle disposizioni in tema di comunicazione dei dati personali idonei a rilevare lo stato di salute, di cui all’art. 84, comma 1 del Codice;

– Violazione delle disposizioni in materia di conservazione di dati di traffico telefonico e telematico (art. 132 del Codice);

– Omessa o incompleta notificazione di dati, da effettuarsi ai sensi degli artt. 37 e 38 del Codice;

– Omessa informazione o esibizione di documenti al Garante

Violazioni penali (artt. 167-172):

– Trattamento illecito dei dati;

– Falsità nelle dichiarazioni e notificazioni al Garante;

– Violazione dell’obbligo di adozione delle misure minime di protezione dei dati personali, di cui all’art. 33 del Codice;

– Inosservanza dei provvedimenti del Garante;

– Violazione delle disposizioni di cui agli artt. 113, comma 1, divieto di indagini sulle opinioni del lavoratore e 114 del codice, violazione delle norme sul controllo a distanza dei lavoratori.

I DATI 

Parlando di privacy, non possiamo esimerci dal ricordare alcune nozioni di base. Innanzitutto vale la pena di ricordare che qualunque operazione (o complesso di operazioni) concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione etc., a prescindere dal fatto che venga o meno effettuata tramite l’ausilio di strumenti elettronici, è qualificata dal Legislatore come “trattamento di dati personali”, e, si badi bene, a prescindere dalla circostanza che poi questi dati vengano registrati in una banca di dati. In base al Codice Privacy, per banca dati si intende un qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

Pur non volendo qui riportare l’intera elencazione delle attività citate all’art. 4 del Decreto legislativo 30 giugno 2003, n. 196, sembra comunque opportuno ricordare che anche  il modificare, cancellare o distruggere  dati viene classificato come “trattamento di dati personali”.

Posto quanto sopra, vi è una prima grande distinzione da operare fra:

 – i  dati anonimi  che sin dall’origine, ovvero a seguito di trattamento, non possono essere associati ad un interessato identificato o identificabile;

 – i  dati personali, vale a dire tutte le informazioni relative ad una persona fisica, tali da  permetterne l’identificazione, anche solo indirettamente, mediante un qualsiasi collegamento, ivi compreso un numero di identificazione personale.

All’interno di questo ultimo insieme di dati personali si distinguono poi:

 – i “dati identificativi”, cioè i dati personali che permettono l’identificazione diretta dell’interessato;

– i “dati sensibili”, vale a dire i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Questo tipo di dati possono essere trattati  da parte di soggetti pubblici solo in forza di un’espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (art. 20 Codice Privacy).

– I “dati giudiziari”, ossia i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

Anche in questo caso il  trattamento è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.  è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici, previo parere del Garante per la protezione dei dati personali.

GLI ADEMPIMENTI

Sono comuni a tutti i soggetti, tra i quali le Società ed Associazioni Sportive Dilettantistiche, gli adempimenti che qui di seguito si elencano.

Rilascio dell’informativa,  è rappresentata da un modulo nel quale vengono fornite al soggetto interessato tutte le informazioni riguardanti le modalità di trattamento di utilizzo dei dati.

È obbligatoria la sua proposta generalmente prima dell’inizio del trattamento dei dati, salvo casi  particolari quali la ricezione di “curricula vitae”.

– Consenso dell’interessato che in linea generale, deve esser rilasciato antecedentemente all’inizio del trattamento dei dati. Le deroghe a tale obbligo sono tassativamente elencate nell’art. 24 del D.Lgs 196/2003 .

Sicurezza dei dati. Trattasi dell’insieme di quelle procedure atte ad assicurare il corretto trattamento dei dati acquisiti dal soggetto a ciò deputato e, comunque, ad evitarne la fuga verso soggetti terzi, espressamente previste dal Codice che si possono classificare in:

– Misure idonee, con riferimento agli adempimenti previsti agli artt. 31 e 32; 

Misure minime, gli accorgimenti da porre in essere obbligatoriamente ai sensi degli artt. 33, 34 e 35.

È necessario distinguere tra :

– Trattamento dati ordinario, che si verifica quando esso si attua senza l’ausilio di strumenti informatici. In questo caso vengono richieste procedure che consentono misure minime di sicurezza per l’archiviazione dei dati ed il loro aggiornamento periodico, almeno una volta all’anno;

– Trattamento dati con strumenti elettronici, quando le procedure vengono eseguite con l’utilizzo quantomeno, di un computer. Oltre quanto più sopra richiesto, in questo caso si rendono necessarie:

– le credenziali di autenticazione (login e password) per accesso ai dati;

– la revisione periodica dell’ambito di trattamento dei dati personali;

– la installazione di programmi anti-virus e anti-intrusione al sistema informatico e loro aggiornamento;

– la elaborazione delle procedure, la conservazione dei dati e per il loro ripristino.

Ulteriori admepimenti, comunque richiesti dalla gestione del trattamento  dei dati ancorché facoltativi, sono:

– la redazione facoltativa del Documento Programmatico sulla Sicurezza (D.P.S.), non più reso obbligatorio dall’art. 45, comma 1, lett. c) D.L. 5/2012;

– la notificazione al Garante, obbligatoria per i soggetti che trattano dati sensibili quali quelli genetici o atti a rilevare lo stato di salute, la vita sessuale, la sfera psichica e quant’altro dell’interessato;

– la richiesta al Garante, del consenso obbligatorio al trattamento dei dati sensibili;

Al di fuori di quanto fin qui succintamente illustrato, rimangono le procedure riguardanti la videosorveglianza per la quale non è prevista un’unica sistematica legislazione, ma che viene regolamentata o da provvedimenti specifici (aree pubbliche e private) ovvero da specifiche leggi (rapporto di lavoro subordinato), alle quali facciamo rinvio.

Infine si segnala che sul sito web:

www.garanteprivacy.it/web/guest/home/docweb si possono consultare le Linee Guida del Garante, le quali mirano a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti, al fine di garantire la corretta applicazione dei principi stabiliti dal Codice.

Focus Su > I SOGGETTI COINVOLTI
In questo contesto, si rivela quanto mai utile e necessario procedere con un’esatta identificazione delle diverse figure “destinatarie” della normativa (così come specificato allo stesso art. 4 del Decreto legislativo 30 giugno 2003, n. 196 e successive modifiche), in quanto coinvolte nelle operazioni trattate in precedenza:

L’interessato è la persona fisica cui si riferiscono i dati personali ed in quanto tale è chiamato a esprimere il proprio consenso circa il trattamento. Perché il consenso possa dirsi validamente prestato, è necessario che sia espresso liberamente, per uno specifico trattamento chiaramente individuato e, nel caso di dati sensibili, in forma scritta.

Titolare del Trattamento
Titolare è il soggetto (persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo) incaricato innanzitutto a  decidere, anche unitamente ad altro titolare, quali siano le finalità del trattamento dei dati, le modalità e gli strumenti attraverso cui ciò deve avvenire, nel massimo rispetto del principio di necessità espresso dall’ art. 3 del Codice Privacy, in base al quale i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, ed in modo da escluderne del tutto il trattamento stesso quando le finalità perseguite possano essere comunque realizzate mediante dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

La legge prevede che, nel caso in cui tale ruolo sia ricoperto da soggetto diverso dalla persona fisica, il titolare sia l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.

Nell’ambito dei compiti del Titolare del Trattamento rientra anche la facoltà di nominare il Responsabile del Trattamento, i cui compiti devono essere specificati per iscritto dal Titolare del Trattamento che è chiamato a vigilare sulla puntuale osservanza delle istruzioni impartite, anche attraverso verifiche periodiche.

Incaricato al trattamento
A differenza delle due figure indicate in precedenza, gli incaricati al trattamento devono necessariamente essere persone fisiche che, nominate per iscritto dal Titolare o dal responsabile, in base a un mansionario scritto, vengono autorizzate all’esecuzione di operazioni di trattamento dei dati personali. Materialmente gli incaricati si occuperanno di raccogliere ed elaborare i dati, archiviarli e provvedere alla loro comunicazione e diffusione, ovviamente limitatamente ai fini per cui gli stessi siano stati raccolti.

Responsabile del Trattamento
Il Responsabile del Trattamento, al pari del Titolare, può essere sia una persona fisica che una persona giuridica; può trattarsi di una Pubblica Amministrazione, oppure può essere un altro Ente, Associazione od Organismo. Il Responsabile è designato facoltativamente dal Titolare al trattamento dei dati. Se designato, il responsabile deve essere scelto tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. è possibile, per esigenze organizzative, designare anche più responsabili mediante una suddivisione di compiti.

Amministratore di Sistema (ADS)
L’Amministratore di Sistema è colui che è preposto alla gestione e manutenzione di un sistema informatico o di sue componenti. Professionalmente, l’Ads può essere qualificato come Amministratore:

– di base di dati;

– di sistemi di software complessi.

Non rientrano in tale categoria coloro che occasionalmente intervengono per guasti o malfunzionamento della piattaforma informatica.

Login

Welcome! Login in to your account

Remember me Lost your password?

Lost Password