Privacy e volontariato: confini normativi e opportunità
 

Privacy e volontariato: confini normativi e opportunità

on

  • 255 views

Incontro formativo per il terzo settore

Incontro formativo per il terzo settore

Statistics

Views

Total Views
255
Views on SlideShare
255
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Privacy e volontariato: confini normativi e opportunità Privacy e volontariato: confini normativi e opportunità Presentation Transcript

  • Privacy e volontariato: confini normativi e opportunità Milano-Pavia, 30 novembre 2013 avv. Andrea Maggipinto
  • 2 Agenda n  Scenario n  Linee guida della disciplina n  Il trattamento di dati sensibili e giudiziari n  Adempimenti privacy n  Q&A
  • 3 Origini diritto alla privacy = “right to be let alone” * * The Right to Privacy, di Louis Brandeis e Samuel Warren (Harvard Law Review, 1890) Privacy come rispetto del diritto all’inviolabilità della persona e del diritto fondamentale a “vivere indisturbata” Ø  diritto fondamentale della persona Ø  frontiera avanzata del diritto
  • 4 Nozione moderna Dal diritto a “essere lasciato da solo” al diritto di mantenere il controllo sulla circolazione delle informazioni : Ø  si differenza dal diritto alla riservatezza. Ø  acquista una portata più ampia: non solo informazioni inerenti la vita privata, ma qualunque dato o informazione relativa a una persona, anche se non coperta da riserbo. Necessità di conciliare le esigenze di riservatezza dell’individuo con le dinamiche della c.d. “Società dell’informazione” Ø  la disciplina si riflette sulle operazioni che possono o che non possono essere effettuate sui dati personali di un individuo
  • 5 Attuale scenario Direttiva “Madre” 95/46/CE Decisione Quadro 2008/977/GAI Legge 675/96 Direttiva 97/66/CE Direttiva 2002/58/CE (e s.m.i.) D.Lgs. 196/2003 (e s.m.i.)
  • 6 Il “Codice Privacy” (D.Lgs. 196/2003) Codice u  Disposizioni generali u  Disposizioni relative a specifici settori u  Tutela sanzioni dell’interessato e Allegati A) Codici di deontologia B) Disciplinare tecnico in materia di misure minime di sicurezza C) Trattamenti non occasionali per finalità giudiziarie o di polizia
  • 7 Linee guida della disciplina Ø  Ø  Quando si applica Definizioni rilevanti Ø  Ø  Ø  Ø  Principi cardine Ø  Ø  Ø  Ø  Ø  Ø  Dati personali Soggetti coinvolti Operazioni di trattamento necessità finalità e proporzionalità Informativa e consenso Dati sensibili Ulteriori adempimenti Sanzioni
  • 8 I soggetti coinvolti Titolare del trattamento Responsabile del trattamento Incaricato del trattamento Incaricato del trattamento Responsabile del trattamento Incaricato del trattamento Incaricato del trattamento Incaricato del trattamento
  • 9 Quando si applica il Codice Privacy? Art. 5: §  Titolare stabilito nel territorio dello Stato o in un luogo sottoposto alla sua sovranità (ancorché i dati siano detenuti all’estero) §  Nel caso in cui il titolare sia stabilito in un altro Paese dell’Unione Europea, troverà applicazione la legge del Paese di stabilimento §  Trova applicazione il Codice privacy anche nell'ipotesi di trattamento effettuato da soggetto stabilito nel territorio di un Paese non appartenente all'Unione europea che impiega strumenti situati nel territorio dello Stato (escluso il mero transito) §  Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
  • 10 Caso particolare: Caritas diocesana Art. 181 comma 6 Codice Privacy (disposizioni transitorie): “Le confessioni religiose che, prima dell'adozione del presente codice, abbiano determinato e adottato nell'ambito del rispettivo ordinamento le garanzie di cui all'articolo 26, comma 3, lettera a), possono proseguire l'attività di trattamento nel rispetto delle medesime”. Ø  Decreto generale CEI “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”
  • 11 Caso particolare: Caritas diocesana Si applica il Decreto generale CEI (e non la disciplina italiana) solo se: n  l’attività oggetto del trattamento è di religione e di culto e si realizza comunque per finalità pastorali di natura esclusivamente religiosa n  i dati raccolti non sono comunicati e/o diffusi all’esterno della Chiesa Cattolica Nel caso in cui nei Centri di Ascolto si svolga primariamente un’attività assistenziale di “segretariato sociale” o ci sia comunque comunicazione e condivisone dei dati con altri Enti non religiosi, occorre dare piena applicazione al Codice della Privacy.
  • 12 Organizzazioni di Volontariato Volontariato: attività prestata in modo personale, spontaneo e gratuito, tramite l'organizzazione di cui il volontario fa parte, senza fini di lucro, esclusivamente per fini di solidarietà (Legge 266 del 11.8.1991; D.Lgs. 460 del 4.12.1997) O.d.V. Ø  soggetti privati sottoposte alla disciplina generale in materia di trattamento dei dati e alla disciplina specifica in materia di trattamento di dati nel settore privato.
  • 13 Diritti .. L’interessato ha diritto di ottenere: n  l’accesso ai propri dati n  l’aggiornamento o la rettifica dei dati n  l’integrazione dei dati n  la cancellazione dei dati trattati in violazione della legge o del consenso n  l’attestazione dell’avvenuto aggiornamento, rettifica, integrazione o cancellazione
  • 14 .. esercizio dei diritti Esercizio dei diritti (art. 8): Ø  senza formalità, anche tramite un incaricato Ø  quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni o altri apprezzamenti di tipo soggettivo Modalità di esercizio (art. 9): Ø  lettera raccomandata, telefax o posta elettronica, e anche oralmente Riscontro all’interessato (art. 10): Ø  comunicazione all’interessato (entro 15 giorni), in forma intelligibile, anche oralmente
  • 15 Principi cardine del trattamento dati Ø  Principio di necessità (art.3) Ø  Principio di finalità (art.11, comma 1, lett. b) Ø  Principio di proporzionalità (art.11, comma 1, lett. d)
  • 16 Informativa privacy (art.13)‫‏‬ v  È il più importante diritto riconosciuto dal Codice, ed è anche il primo strumento di controllo. v  L’informativa soddisfa l’esigenza di trasparenza ed è un requisito centrale del sistema di tutela dei dati. v  La privacy è un diritto partecipato (diritto a controllare il più possibile il flusso dei propri dati personali). Perché l’individuo possa “seguire” i dati che lo riguardano, è necessario fornire precise informazioni sull'utilizzo dei suoi dati.
  • 17 Consenso (al trattamento) Ø  Per soggetti privati ed enti pubblici economici vige il principio del consenso (art. 23). Condizioni per la validità del consenso: q  Espresso q  Libero q  Specifico q  Informato Ø  Ø  Documentato per iscritto (per dati comuni)‫‏‬ Prestato in forma scritta (per dati sensibili)
  • 18 Casi di esclusione (art. 24) Il consenso non è richiesto se il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi contrattuali o per adempiere a specifiche richieste dell'interessato nella fase pre-contrattuale; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; [...]
  • 19 Casi di esclusione (art. 24) e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato (bilanciamento di interessi);
  • 20 Casi di esclusione (art. 24) h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13 (v. anche art. 26 c. 4); i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico; i-bis) riguarda dati contenuti nei curricula; i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate.
  • 21 Dati sensibili: consenso e autorizzazione Ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo: (i) previa autorizzazione di questa Autorità (ii) e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti.
  • 22 Autorizzazioni generali Ø  Ø  Ø  Ø  Ø  Ø  Ø  Ø  Ø  Autorizzazione generale n. 1/2012 al trattamento dei dati sensibili nei rapporti di lavoro Autorizzazione generale n. 2/2012 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale Autorizzazione generale n. 3/2012 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni Autorizzazione generale n. 4/2012 al trattamento dei dati sensibili da parte dei liberi professionisti Autorizzazione generale n. 5/2012 al trattamento dei dati sensibili da parte di diverse categorie di titolari Autorizzazione generale n. 6/2012 al trattamento dei dati sensibili da parte degli investigatori privati Autorizzazione generale n. 7/2012 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici Autorizzazione generale n. 8/2012 al trattamento dei dati genetici Autorizzazione generale n. 9/2012 al trattamento dei dati personali effettuato per scopi di ricerca scientifica
  • 23 Dati giudiziari (senza consenso, ma..) Art. 27. Garanzie per i dati giudiziari 1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall'articolo 21, comma 1 bis. [art. 21 c. 1. bis.: Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'interno o con i suoi uffici periferici di cui all'articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili]
  • 24 Autorizzazione generale n. 7/2012 Autorizza il trattamento dei dati giudiziari di cui all'art. 4, comma 1, lett. e) del Codice, per le finalità di rilevante interesse pubblico ivi specificate e secondo le prescrizioni indicate. Prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
  • 25 Notifica al Garante (art. 37) Ø  Ø  Ø  Ø  Generale assenza dell’obbligo Alcuni trattamenti oggetto di notifica: q  dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; q  dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; q  dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; Invio telematico con firma digitale; I titolari non tenuti alla notificazione forniscono le notizie contenute nel modello di notifica a chi ne fa richiesta.
  • 26 Misure di sicurezza e privacy Art. 31 d.lgs. 196/2003 Art. 33 d.lgs. 196/2003 Misure “idonee” Misure “minime” Misure di sicurezza individuabili sulla base di soluzioni tecniche concretamente disponibili Individuate dal Disciplinare tecnico (allegato B)‫‏‬ Responsabilità civile Responsabilità penale
  • 27 Condivisione di dati Ente Ente Ente Ente Ente
  • 28 PA e organizzazioni di volontariato Art. 20 (Dati sensibili e PA) 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento. Art. 70 (Volontariato): definisce di rilevante interesse pubblico le finalità di applicazione della disciplina in materia di rapporti tra i soggetti pubblici e le organizzazioni di volontariato.
  • 29 Altre finalità di rilevante interesse Art. 73: provvede a definire di rilevante interesse pubblico le finalità socio-assistenziali, con particolare riferimento a: n  interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o familiare; n  interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi compresi i servizi di assistenza economica o domiciliare,di accompagnamento; n  assistenza nei confronti dei minori, anche in ordine a vicende giudiziarie; n  indagini psico-sociali relative a provvedimenti di adozione anche internazionale; n  …
  • 30 Altre finalità rilevanti n  n  n  compiti di vigilanza per affidamenti temporanei; iniziative di vigilanza e di sostegno in riferimento al soggiorno di nomadi assegnazione di alloggi di edilizia residenziale pubblica;
  • 31 La Privacy di domani Necessità di un nuovo quadro giuridico per la protezione dei dati personali nell’Unione Europea q  Regolamento Europeo del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) q  Direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati
  • 32 Verso una nuova disciplina v  v  v  v  v  v  v  v  v  v  Privacy by Design Accountability Minimizzazione dei dati Conservare documenti sul “modello organizzativo e di sicurezza privacy” Diritto all’oblio (salvo però specifici obblighi di legge, garanzie della libertà di espressione e continuità della ricerca storica) Diritto dell’interessato alla "portabilità del dato" Maggiori poteri, anche sanzionatori, del Garante Notifica delle violazioni all’Autorità Nomina del c.d. “Data Protection Officer” Introdotto il requisito del “privacy impact assessment”
  • 33 Grazie per l’attenzione. avv. Andrea Maggipinto www.maggipinto.org andrea.maggipinto@gmail.com