Translate

giovedì 2 gennaio 2014

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZAZIONE 12 dicembre 2013 Autorizzazione al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni. (Autorizzazione n. 3/2013). (13A10497) (GU n.302 del 27-12-2013)



GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
AUTORIZZAZIONE 12 dicembre 2013 

Autorizzazione al trattamento  dei  dati  sensibili  da  parte  degli
organismi di tipo associativo e delle fondazioni. (Autorizzazione  n.
3/2013). (13A10497)
(GU n.302 del 27-12-2013) 


                    IL GARANTE PER LA PROTEZIONE
                         DEI DATI PERSONALI

  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  dott.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
Codice in materia  di  protezione  dei  dati  personali  (di  seguito
«Codice»);
  Visto, in particolare, l'art. 4, comma 1, lettera  d),  del  citato
Codice, il quale individua i dati sensibili;
  Considerato che, ai sensi dell'art. 26,  comma  1,  del  Codice,  i
soggetti privati e gli enti pubblici  economici  possono  trattare  i
dati sensibili solo previa autorizzazione di questa autorita' e,  ove
necessario,   con   il   consenso    scritto    degli    interessati,
nell'osservanza dei presupposti e dei limiti  stabiliti  dal  Codice,
nonche' dalla legge e dai regolamenti;
  Visto altresi' il comma 4, lettera a), del citato art. 26, il quale
stabilisce che i dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del Garante,  «quando  il
trattamento e' effettuato da associazioni, enti  ed  organismi  senza
scopo  di  lucro,  anche  non  riconosciuti,  a  carattere  politico,
filosofico, religioso o sindacale, ivi compresi partiti  e  movimenti
politici, per il  perseguimento  di  scopi  determinati  e  legittimi
individuati dall'atto costitutivo,  dallo  statuto  o  dal  contratto
collettivo, relativamente ai dati  personali  degli  aderenti  o  dei
soggetti che in relazione a tali finalita'  hanno  contatti  regolari
con l'associazione, ente od organismo, sempre che i  dati  non  siano
comunicati all'esterno o diffusi e l'ente, associazione od  organismo
determini idonee garanzie relativamente  ai  trattamenti  effettuati,
prevedendo espressamente  le  modalita'  di  utilizzo  dei  dati  con
determinazione resa nota agli interessati  all'atto  dell'informativa
ai sensi dell'art. 13»;
  Visto il comma 3, lettere a) e b), del predetto art. 26,  il  quale
stabilisce che la disciplina di  cui  al  relativo  comma  1  non  si
applica al trattamento: a)  dei  dati  relativi  agli  aderenti  alle
confessioni religiose e ai soggetti che con riferimento  a  finalita'
di natura esclusivamente religiosa hanno  contatti  regolari  con  le
medesime confessioni, effettuato dai relativi organi, ovvero da  enti
civilmente riconosciuti, sempre  che  i  dati  non  siano  diffusi  o
comunicati fuori delle medesime confessioni; b) dei dati  riguardanti
l'adesione di associazioni od organizzazioni a carattere sindacale  o
di categoria ad altre associazioni, organizzazioni o confederazioni a
carattere sindacale o di categoria;
  Rilevato che le confessioni di cui alla  lettera  a)  del  medesimo
art. 26, comma 3, devono determinare idonee garanzie relativamente ai
trattamenti  effettuati,  nel  rispetto  dei  principi  indicati   al
riguardo con autorizzazione del Garante;
  Visto l'art. 181, comma 6, del Codice secondo  cui  le  confessioni
religiose che,  prima  dell'adozione  del  medesimo  Codice,  abbiano
determinato e adottato  nell'ambito  del  rispettivo  ordinamento  le
garanzie di cui al predetto art. 26, comma  3,  lettera  a),  possono
proseguire l'attivita' di trattamento nel rispetto delle medesime;
  Considerato che il trattamento dei dati in  questione  puo'  essere
autorizzato  dal  Garante  anche  d'ufficio  con   provvedimenti   di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
  Considerato che le  autorizzazioni  di  carattere  generale  sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti  di  autorizzazione  da  parte  di
numerosi titolari del trattamento;
  Ritenuto opportuno rilasciare nuove autorizzazioni in  sostituzione
di  quelle  in  scadenza  il  31  dicembre  2013,   armonizzando   le
prescrizioni gia' impartite alla luce dell'esperienza maturata;
  Ritenuto  opportuno  che  anche  tali  nuove  autorizzazioni  siano
provvisorie e a tempo determinato, ai sensi dell'art.  41,  comma  5,
del Codice e, in particolare, efficaci per il periodo di dodici mesi;
  Considerata la  necessita'  di  garantire  il  rispetto  di  alcuni
principi volti a ridurre al minimo i rischi di danno  o  di  pericolo
che i trattamenti potrebbero comportare per i diritti e  le  liberta'
fondamentali,  nonche'  per  la  dignita'   delle   persone,   e   in
particolare, per  il  diritto  alla  protezione  dei  dati  personali
sancito dall'art. 1 del Codice;
  Considerato che un elevato numero di trattamenti di dati  sensibili
e' effettuato da enti ed organizzazioni  di  tipo  associativo  e  da
fondazioni, per la realizzazione di  scopi  determinati  e  legittimi
individuati dall'atto costitutivo, dallo statuto o  da  un  contratto
collettivo;
  Visto l'art. 11, comma 2, del Codice, il  quale  stabilisce  che  i
dati trattati in violazione della disciplina rilevante in materia  di
trattamento di dati personali non possono essere utilizzati;
  Visti gli articoli 31 e  seguenti  del  Codice  e  il  disciplinare
tecnico di cui all'allegato B) al medesimo Codice,  recanti  norme  e
regole sulle misure di sicurezza;
  Visto l'art. 41 del Codice;
  Visti  gli  articoli  42  e  seguenti  del  Codice  in  materia  di
trasferimento di dati personali all'estero;
  Visto l'art. 167 del Codice;
  Visti gli atti d'ufficio;
  Viste  le  osservazioni  dell'ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore la dott.ssa Giovanna Bianchi Clerici;

                             Autorizza:

  Il trattamento dei dati sensibili  di  cui  all'art.  4,  comma  1,
lettera d), del Codice da parte di associazioni, fondazioni, comitati
ed altri organismi di tipo associativo, secondo  le  prescrizioni  di
seguito indicate.
  Prima di iniziare o proseguire il trattamento i sistemi informativi
e i  programmi  informatici  sono  configurati  riducendo  al  minimo
l'utilizzazione di dati personali e di dati identificativi,  in  modo
da escluderne il  trattamento  quando  le  finalita'  perseguite  nei
singoli casi possono  essere  realizzate  mediante,  rispettivamente,
dati anonimi od opportune modalita' che  permettano  di  identificare
l'interessato solo in caso di necessita', in conformita'  all'art.  3
del Codice.
1) Ambito di applicazione.
  La presente autorizzazione e' rilasciata:
    a) alle associazioni anche non  riconosciute,  ai  partiti  e  ai
movimenti  politici,  alle   associazioni   e   alle   organizzazioni
sindacali, ai patronati e alle associazioni di categoria, alle  casse
di previdenza, alle organizzazioni assistenziali o  di  volontariato,
nonche' alle federazioni e confederazioni nelle quali  tali  soggetti
sono riuniti in conformita', ove esistenti,  allo  statuto,  all'atto
costitutivo o ad un contratto collettivo;
  b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio  od
organismo senza  scopo  di  lucro,  dotati  o  meno  di  personalita'
giuridica, ivi comprese le organizzazioni non lucrative  di  utilita'
sociale (Onlus);
  c) alle cooperative sociali e alle societa' di  mutuo  soccorso  di
cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15  aprile
1886, n. 3818.
  L'autorizzazione e' rilasciata altresi' agli  istituti  scolastici,
limitatamente  al  trattamento  dei  dati  idonei   a   rivelare   le
convinzioni religiose e per le operazioni strettamente necessarie per
l'applicazione dell'art. 310 del decreto legislativo 16 aprile  1994,
n. 297 e degli articoli 3 e 10 del decreto  legislativo  19  febbraio
2004, n. 59.
  Resta fermo l'obbligo per le confessioni religiose di  determinare,
ai sensi dell'art.  26,  comma  3,  lettera  a)  del  Codice,  idonee
garanzie relativamente ai trattamenti  effettuati  nel  rispetto  dei
principi indicati con la presente autorizzazione.
  Ai sensi  dell'art.  181,  comma  6,  del  Codice,  le  confessioni
religiose che,  prima  dell'adozione  del  medesimo  Codice,  abbiano
determinato e adottato  nell'ambito  del  rispettivo  ordinamento  le
garanzie di cui all'art. 26, comma 3, lettera a), del Codice  possono
proseguire l'attivita' di trattamento effettuato dai relativi organi,
ovvero da enti civilmente riconosciuti, nel rispetto delle medesime.
2) Finalita' del trattamento.
  L'autorizzazione  e'  rilasciata  per  il  perseguimento  di  scopi
determinati e  legittimi  individuati  dall'atto  costitutivo,  dallo
statuto o dal contratto collettivo, ove esistenti, e  in  particolare
per il perseguimento di finalita'  culturali,  religiose,  politiche,
sindacali, sportive o agonistiche di tipo  non  professionistico,  di
istruzione   anche   con   riguardo   alla   liberta'    di    scelta
dell'insegnamento religioso, di formazione, di  ricerca  scientifica,
di patrocinio, di  tutela  dell'ambiente  e  dei  beni  di  interesse
artistico e storico, di salvaguardia dei diritti civili,  nonche'  di
beneficenza, assistenza sociale o socio-sanitaria.
  Con riferimento al  perseguimento  delle  finalita'  politiche,  la
presente autorizzazione e' rilasciata anche per  il  trattamento  dei
dati personali effettuato in occasione delle operazioni connesse allo
svolgimento delle elezioni primarie.
  La presente autorizzazione e' rilasciata, altresi', per far  valere
o  difendere  un  diritto  anche  da  parte  di  un  terzo  in   sede
giudiziaria, nonche' in sede  amministrativa  o  nelle  procedure  di
arbitrato e  di  conciliazione  nei  casi  previsti  dalla  normativa
comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
  La  presente  autorizzazione  e'  rilasciata  per  l'esercizio  del
diritto di accesso ai documenti amministrativi, nei limiti di  quanto
stabilito dalle leggi e dai regolamenti in materia.
  Per i  fini  predetti,  il  trattamento  dei  dati  sensibili  puo'
riguardare anche la tenuta di  registri  e  scritture  contabili,  di
elenchi, di  indirizzari  e  di  altri  documenti  necessari  per  la
gestione  amministrativa  dell'associazione,  della  fondazione,  del
comitato o del diverso organismo, o  per  l'adempimento  di  obblighi
fiscali, ovvero per la diffusione di riviste, bollettini e simili.
  Qualora i soggetti di cui alle lettere a), b) e c) del punto  1  si
avvalgano di persone giuridiche o di altri  organismi  con  scopo  di
lucro  o  di  liberi  professionisti  per  perseguire   le   predette
finalita',  ovvero  richiedano  ad  essi  la   fornitura   di   beni,
prestazioni o servizi, la presente autorizzazione e' rilasciata anche
ai medesimi organismi, persone giuridiche o liberi professionisti.
  I soggetti di cui  alle  predette  lettere  a),  b)  e  c)  possono
comunicare alle persone giuridiche e  agli  organismi  con  scopo  di
lucro titolari di un autonomo  trattamento,  i  soli  dati  sensibili
strettamente indispensabili per le  attivita'  di  effettivo  ausilio
alle predette finalita', con particolare riferimento alle generalita'
degli interessati e ad indirizzari, sulla base di un atto scritto che
individui con precisione le informazioni comunicate, le modalita' del
successivo utilizzo, le particolari misure di sicurezza, nonche', ove
previsto, le idonee garanzie determinate. La dichiarazione scritta di
consenso degli interessati deve porre tale circostanza in particolare
evidenza  e  deve  recare  la  precisa  menzione  dei  titolari   del
trattamento  e  delle  finalita'  da  essi  perseguite.  Le   persone
giuridiche e gli  organismi  con  scopo  di  lucro,  oltre  a  quanto
previsto nei punti 4) e 6) in tema di  pertinenza,  non  eccedenza  e
indispensabilita' dei dati, possono trattare i dati  cosi'  acquisiti
solo per scopi di ausilio alle finalita' predette, ovvero  per  scopi
amministrativi e contabili.
3) Interessati ai quali i dati si riferiscono.
  Il trattamento puo' riguardare i dati sensibili attinenti:
    a) agli associati, ai soci e, se strettamente indispensabile  per
il perseguimento delle finalita' di cui  al  punto  2),  ai  relativi
familiari e conviventi;
  b) agli aderenti,  ai  sostenitori  o  sottoscrittori,  nonche'  ai
soggetti che presentano richiesta di ammissione o di adesione  o  che
hanno contatti  regolari  con  l'associazione,  la  fondazione  o  il
diverso organismo;
  c) ai soggetti che ricoprono cariche sociali o onorifiche;
  d) ai beneficiari, agli assistiti e ai fruitori delle  attivita'  o
dei servizi  prestati  dall'associazione  o  dal  diverso  organismo,
limitatamente ai  soggetti  individuabili  in  base  allo  statuto  o
all'atto  costitutivo,   ove   esistenti,   o   comunque   a   coloro
nell'interesse dei quali i soggetti menzionati al  punto  1)  possono
operare in base ad una previsione normativa;
  e) agli  studenti  iscritti  o  che  hanno  presentato  domanda  di
iscrizione agli istituti di cui al punto 1) e, qualora si  tratti  di
minori, ai loro genitori o a chi ne esercita la potesta';
  f)  ai  lavoratori  dipendenti  degli   associati   e   dei   soci,
limitatamente ai dati  idonei  a  rivelare  l'adesione  a  sindacati,
associazioni  od  organizzazioni  a  carattere   sindacale   e   alle
operazioni necessarie per adempiere a specifici obblighi derivanti da
contratti collettivi anche aziendali.
4) Categorie di dati oggetto di trattamento.
  Fermo restando  quanto  previsto  dall'autorizzazione  generale  n.
2/2013 con riferimento ai dati idonei a rivelare lo stato di salute e
la vita sessuale, il trattamento puo' avere  per  oggetto  gli  altri
dati sensibili di cui all'art. 4, comma 1,  lettera  d)  del  Codice,
idonei a  rivelare  l'origine  razziale  ed  etnica,  le  convinzioni
religiose, filosofiche o di  altro  genere,  le  opinioni  politiche,
l'adesione a partiti, sindacati,  associazioni  od  organizzazioni  a
carattere religioso, filosofico, politico o sindacale.
  Il  trattamento  puo'   riguardare   i   dati   e   le   operazioni
indispensabili per perseguire le finalita' di  cui  al  punto  1)  o,
comunque, per adempiere ad  obblighi  derivanti  dalla  legge,  dalla
normativa comunitaria, dai regolamenti o  dai  contratti  collettivi,
che non  possano  essere  perseguiti  o  adempiuti,  caso  per  caso,
mediante il trattamento di dati anonimi o di dati personali di natura
diversa.
  A  tal  fine,  anche  mediante  controlli  periodici,  deve  essere
verificata costantemente  la  stretta  pertinenza,  non  eccedenza  e
indispensabilita' dei dati rispetto ai predetti obblighi e finalita',
in particolare per quanto riguarda i dati che rivelano le opinioni  e
le  intime  convinzioni,  anche   con   riferimento   ai   dati   che
l'interessato fornisce di propria iniziativa. I  dati  che,  anche  a
seguito delle verifiche, risultano eccedenti o non pertinenti  o  non
indispensabili non possono essere utilizzati, salvo  per  l'eventuale
conservazione, a norma di legge, dell'atto o  del  documento  che  li
contiene.
5) Modalita' di trattamento.
  Fermi restando gli obblighi previsti dagli articoli  11  e  14  del
Codice, e dagli articoli 31 e seguenti del Codice e dall'allegato  B)
al medesimo Codice, il trattamento dei  dati  sensibili  deve  essere
effettuato unicamente con operazioni, nonche' con logiche e  mediante
forme di  organizzazione  dei  dati  strettamente  indispensabili  in
rapporto alle finalita', agli scopi e agli obblighi di cui  al  punto
2).
  I dati sono raccolti, di regola, presso l'interessato.
  Fermo restando quanto previsto ai punti  2)  e  7)  della  presente
autorizzazione, se e'  indispensabile,  in  conformita'  al  medesimo
punto 7), comunicare o diffondere dati all'esterno dell'associazione,
della fondazione, del comitato o del diverso organismo,  il  consenso
scritto e' acquisito previa idonea informativa resa agli  interessati
ai sensi  dell'art.  13  del  Codice,  la  quale  deve  precisare  le
specifiche modalita' di utilizzo dei dati tenuto conto  delle  idonee
garanzie adottate relativamente ai trattamenti effettuati.
6) Conservazione dei dati.
  Nel quadro del rispetto dell'obbligo previsto dall'art.  11,  comma
1, lettera e) del Codice, i dati sensibili possono essere  conservati
per un periodo non superiore a quello necessario  per  perseguire  le
finalita' e gli scopi di cui al punto 2), ovvero per  adempiere  agli
obblighi ivi menzionati.
  Le  verifiche  di  cui  all'ultimo  periodo  del  punto  4)  devono
riguardare anche la pertinenza, non eccedenza e indispensabilita' dei
dati rispetto all'attivita' svolta dall'interessato o al rapporto che
intercorre tra l'interessato e i soggetti di cui al punto 1), tenendo
presente il genere di prestazione, di beneficio o di servizio offerto
all'interessato e la posizione di quest'ultimo rispetto  ai  soggetti
stessi.
7) Comunicazione e diffusione dei dati.
  I dati sensibili possono essere comunicati a  soggetti  pubblici  o
privati, e ove necessario diffusi, solo  se  strettamente  pertinenti
alle finalita', agli scopi e agli obblighi  di  cui  al  punto  2)  e
tenendo presenti le altre prescrizioni sopraindicate.
  Fatte salve eventuali  specifiche  normative  di  settore,  i  dati
personali relativi a sostenitori, sovventori e  aderenti  a  partiti,
movimenti, associazioni o organizzazioni a carattere politico possono
essere diffusi, per finalita' volte a garantire la trasparenza,  solo
con  il  consenso  scritto  degli  interessati,  previo  rilascio  di
un'idonea informativa  che  evidenzi  con  sufficiente  chiarezza  la
prevista diffusione.
  I  dati  sensibili  possono  essere   comunicati   alle   autorita'
competenti se necessario per finalita' di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che  regolano  la
materia.
  I dati relativi allo stato di  salute  e  alla  vita  sessuale  non
possono essere diffusi.
8) Richieste di autorizzazione.
  I  titolari  dei   trattamenti   che   rientrano   nell'ambito   di
applicazione  della  presente  autorizzazione  non  sono   tenuti   a
presentare  una  richiesta  di  autorizzazione  a  questa  autorita',
qualora il trattamento che si intende effettuare  sia  conforme  alle
prescrizioni suddette.
  Le richieste di autorizzazione pervenute o  che  perverranno  anche
successivamente alla data di  adozione  del  presente  provvedimento,
devono  intendersi  accolte  nei  termini  di  cui  al  provvedimento
medesimo.
  Il  Garante  non   prendera'   in   considerazione   richieste   di
autorizzazione per trattamenti da  effettuarsi  in  difformita'  alle
prescrizioni  del  presente  provvedimento,  salvo  che,   ai   sensi
dell'art. 41 del Codice, il loro  accoglimento  sia  giustificato  da
circostanze del tutto particolari o  da  situazioni  eccezionali  non
considerate nella presente autorizzazione.
9) Norme finali.
  Restano fermi gli obblighi previsti dalla normativa comunitaria, da
norme di legge o di regolamento che stabiliscono divieti o limiti  in
materia di trattamento di dati personali.
  Restano inoltre ferme le norme volte a prevenire discriminazioni, e
in particolare le disposizioni contenute nel decreto-legge 26  aprile
1993, n. 122, convertito, con modificazioni, dalla  legge  25  giugno
1993, n. 205, in materia  di  discriminazione  per  motivi  razziali,
etnici, nazionali o religiosi e di delitti di genocidio, nel  decreto
legislativo 9 luglio 2003,  n.  215  di  attuazione  della  direttiva
2000/43/CE  per  la   parita'   di   trattamento   tra   le   persone
indipendentemente dalla razza e dall'origine  etnica  e  nel  decreto
legislativo 9 luglio 2003, n.  216,  di  attuazione  della  direttiva
2000/78/CE per la parita' di trattamento in materia di occupazione  e
di condizioni di lavoro.
10) Efficacia temporale.
  La presente autorizzazione ha efficacia a decorrere dal 1°  gennaio
2014 e fino al 31 dicembre 2014, salve  eventuali  modifiche  che  il
Garante ritenga  di  dover  apportare  in  conseguenza  di  eventuali
novita' normative rilevanti in materia.
  La  presente  autorizzazione  sara'   pubblicata   nella   Gazzetta
Ufficiale della Repubblica italiana.
    Roma, 12 dicembre 2013

                            Il presidente
                                Soro


                             Il relatore
                           Bianchi Clerici


                       Il segretario generale
                                Busia

Nessun commento: