Il GDPR e gli enti del terzo settore Parte I

Autore: Marco del Fungo

Per agevolare le associazioni nel processo di adeguamento alle principali novità introdotte dal nuovo Regolamento ho redatto una relazione che illustra la normativa del GDPR e individua gli adempimenti di cui sono onerati gli ETS (Enti del Terzo Settore) – (aggiornata al 19 settembre 2018).

Il tentativo fin troppo ambizioso di rendere chiare e immediatamente applicabili le norme del nuovo Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” e di spiegarne l’effettiva portata in ambito di volontariato e non profit cela sicuramente dei rischi non indifferenti.

Tuttavia, con il presente contributo si intende dare un concreto aiuto all’intero mondo associativo nell’affrontare il percorso di adeguamento al GDPR.

Premessa

Il nuovo Regolamento UE del Parlamento e del Consiglio Europeo 2016/679 detto “General Data Protection Regulation” (in breve “GDPR”) segna un’accelerazione ed anzi un completo cambio di prospettiva nel campo della riservatezza e del trattamento dei dati personali.

Con la definitiva esplosione dei social network, delle piattaforme informatiche e dei motori di ricerca, le persone fisiche barattano la loro riservatezza in cambio di beni e servizi, rendendo disponibili ai propri amici, al pubblico, alle imprese e alle autorità pubbliche, su scala europea e mondiale, innumerevoli informazioni personali.

La libera circolazione dei dati favorisce gli scambi, le relazioni sociali, la conoscenza, il confronto, ma cela anche considerevoli rischi. E’ quindi essenziale che ogni persona debba essere posta in grado di avere il controllo su come i suoi dati, singoli o organizzati, vengano utilizzati, nell’ambito di un quadro europeo (e internazionale) di regole comuni.

Il GDPR non ha comportato l’abrogazione totale dell’attuale normativa italiana (“Codice in materia di protezione dei dati personali” di cui al D.Lgs. n. 196/2003) che è stata modificata con il decreto legislativo n. 101/2018.

Il legislatore italiano, in sede di emissione del detto Decreto ha provveduto ad integrare ed adeguare il vecchio Codice Privacy alla nuova normativa UE. Il decreto in questione, approvato dal Consiglio dei Ministri in data 8 agosto 2018, è entrato in vigore il 19 settembre 2018.

Tra le novità che interessano il presente contributo particolare rilievo assume il disposto dell’art. 2 sexies del decreto n. 101/2018 nel quale espressamente sono citati tra le materie per le quali “si considera rilevante l’interesse pubblico relativo a trattamentiinerenti le “attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci” e i “rapporti tra gli enti pubblici e quelli del Terzo Settore”.

Definizioni art. 4 GDPR

L’art. 4 del GDPR si occupa delle definizioni di concetti e principi posti alla base della nuova disciplina europea. La norma assume rilievo centrale attesa l’introduzionedi nuove categorie di dati.

L’articolo 4, paragrafo 1, n. 1 (I), del Gdpr definisce il Dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Per stabilire l’identificabilità di un Interessato, il Gdpr suggerisce di considerare tutti i mezzi (come l’individuazione) di cui il Titolare o un terzo può ragionevolmente avvalersi per identificare detto Interessato, direttamente o indirettamente.

Gli Interessati possono essere associati ad identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati (quali gli indirizzi IP) a marcatori temporanei (cookies) o a identificativi di altro tipo (come i tag di identificazione a radiofrequenza) che possono lasciare tracce che, se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili e per identificare gli Interessati (si veda considerando 30 del Gdpr).

Il Gdpr ha introdotto nelle definizioni nuove categorie di Dati, tra cui quelli genetici e biometrici. Ha inoltre espressamente definito i dati relativi alla salute (i “Dati sanitari”). L’articolo 4, paragrafo 1, n. 13 (II), del Gdpr definisce i dati genetici come quei Dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di un Interessato che forniscono informazioni univoche sulla sua fisiologia o salute e che risultano dall’analisi di un suo campione biologico (i “Dati genetici”).

L’articolo 4, paragrafo 1, n. 14 (III), del Gdpr definisce i dati biometrici come quei Dati personali ottenuti da un Trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di un Interessato che ne consentono o confermano l’identificazione univoca, come l’immagine facciale o i dati dattiloscopici (i”Dati biometrici”).

L’articolo 4, paragrafo 1, n. 15 (IV), del Gdpr definisce i Dati sanitari come quei Dati personali attinenti alla salute fisica o mentale di un Interessato, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Obiettivi del GDPR

Il GDPR vuole garantire in primo luogo che il trattamento dei dati personali dei cittadini dell’Unione Europea, e cioè l’utilizzo delle informazioni e notizie che li riguardano, si svolga nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento al diritto alla protezione dei dati personali (art. 1) (V).

Un altro obiettivo fondamentale del GDPR è la libera circolazione dei dati. Questo obiettivo è fondamentale perché il GDPR non mira solo a tutelare un diritto fondamentale dell’individuo, ma a creare un terreno fertile per un’economia dei dati europea. Il GDPR si inserisce nel più ampio programma per un mercato unico digitale.

Più precisamente, il GDPR, si propone soprattutto di farsì:

a) che i dati personali vengano utilizzati per scopi leciti e comunque per le finalità in base alle quali sono stati raccolti e non oltre il tempo necessario per raggiungere tali finalità;

b) che i dati conosciuti da estranei, che non vengano diffusi o comunque utilizzati contro la volontà o nell’ignoranza della persona cui si riferiscono;

c) che i dati personali non vengano distrutti o perduti in modo involontario o doloso.

Il contesto delle nuove regole comunitarie è però anche quello del Digital Single Market (DSM) un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi, dei capitali – oltre che delle informazioni – in condizioni di piena concorrenza e di livello elevato di protezione dei consumatori e dei dati personali.

Un pilastro fondamentale del DSM è costituito dalla costruzione europea di un nuovo quadro regolatorio armonizzato in attuazione dei precetti contenuti nell’art. 7 (Diritto al rispetto della vita privata e familiare) (VI) e nell’art. 8 (Protezione dei dati di carattere personale)
(VII) della Carta dei diritti fondamentali dell’Unione Europea.

Applicabilità del GDPR agli ETS

Gli ETS (Enti del cd Terzo Settore) raccolgono e utilizzano comunemente, nello svolgimento della loro attività, dati personali, e cioè informazioni e notizie riferite:

a) ai propri soci/aderenti;

b) ai beneficiari dell’attività istituzionale o utenti del servizio;

c) ai consulenti e collaboratori esterni;

d) agli eventuali dipendenti;

e) agli enti pubblici;

f) agli altri ETS e in genere i soggetti con cui vengono a contatto;

g) alle persone, enti e aziende a cui indirizzare campagne di sensibilizzazione e fundraising, ecc.

Costituiscono per esempio raccolte cartacee di dati personali il libro dei soci, il libro dei volontari, la rubrica per la corrispondenza, l’elenco dei donatori, ecc. Tali dati possono anche essere gestiti tramite computer e contenuti in banche dati, situazione che richiede l’adozione di particolari misure di sicurezza e di protezione dei computer.

Quanto alla natura dei dati, si ritiene di poter distinguere tra:

—> DATI PERSONALI “COMUNI” (es. il nominativo, la data di nascita, il numero di cellulare dei soci/volontari o beneficiari, l’avvenuto versamento della quota associativa, gli studi compiuti), alcuni dei quali sono PUBBLICI, (es. il codice fiscale o le liste elettorali).

—> DATI SENSIBILI, che il GDPR chiama “PARTICOLARI CATEGORIE DI DATI”

—> DATI GIUDIZIARI

Costituiscono dati personali (comuni o sensibili) anche le immagini, i suoni, i video ecc., quando consentono di individuare una determinata persona. Anche a tali dati, quindi, si applicano le regole del GDPR, oltre alle norme del codice civile (art. 10) (VIII) sulla tutela dell’immagine.

La normativa UE del GDPR si applica agli Enti del Terzo Settore, che sono “titolari del trattamento” se e ogni qualvolta svolgono anche una sola delle operazioni che concretano un trattamento di dati personali.

Titolare del trattamento è la persona giuridica ( qual è l’associazione), nel suo complesso, e non le persone fisiche che ne fanno parte.

Ciò non toglie:

– che le decisioni sui trattamenti da svolgere vanno adottate dall’organo o dalle persone fisiche cui è attribuita la gestione dell’ente (es. Consiglio Direttivo, il Presidente, ecc.);

– che gli adempimenti richiesti dal GDPR devono ovviamente essere attuati da persone fisiche (ad es. il Presidente, un consigliere delegato, i dipendenti, o anche i volontari);

– che i limiti imposti dal GDPR vanno rispettati da chiunque dell’associazione utilizzi dati personali;

– che, infine, le responsabilità civili, amministrative e penali in caso di violazione del GDPR gravano prevalentemente sulle persone fisiche che hanno agito.

È utile precisare che, ai fini dell’applicazione del Regolamento, le norme del GDPR che si riferiscono alle associazioni e agli ETS non distinguono tra i vari soggetti appartenenti al terzo settore, ma parlano genericamente di fondazioni, associazioni o organismi senza scopo di lucro.

Posto che per il GDPR il Titolare è la persona giuridica che decide che trattamento di dati svolgere e come svolgerlo (“determina le finalità e i mezzi del trattamento di dati personali”) si ritiene che debba esser considerata titolare del trattamento anche la sezione locale o l’organismo periferico di una associazione, qualora appunto eserciti un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento.

In merito è necessario dare conto della definizione di «stabilimento principale»:

– “per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, lo stabilimento principale è il luogo ove è situata la sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale” (IX).

Alla luce della definizione sopra riportata ove la sezione / organismo locale di una associazione nazionale abbia il potere di decidere in autonomia le modalità e le finalità del trattamento di dati personali posto in essere, rispetto alla “casa madre”, essi assumono la qualità di “titolare”, e cioè soggetto autonomo ai fini dell’applicazione del GDPR e del rispetto degli obblighi conseguenti: dovrà pertanto predisporre una propria informativa, deve chiedere il consenso al trattamento, deve tenere se del caso i Registri del Trattamento e così via.

Principi e finalità nel GDPR

Ai sensi dell’art. 5 (X) gli ETS, come qualsiasi titolare:

– devono trattare i dati in modo lecito e secondo correttezza e trasparenza;

– possono raccogliere i dati solo per finalità determinate, esplicite e legittime, ed utilizzare i dati solo in termini compatibili con tali scopi (“limitazione delle finalità”);

– devono assicurarsi che i dati raccolti siano adeguati, pertinenti e non eccedenti rispetto a quanto necessario per il perseguimento delle finalità per cui sono raccolti (“minimizzazione dei dati”);

– devono avere dati esatti e, se necessario, aggiornarli (“esattezza dei dati”);

– devono conservarli per un periodo di tempo non superiore a quello necessario per il raggiungimento delle finalità per cui sono stati raccolti, a meno che la conservazione non avvenga per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (“limitazione della conservazione”);

– devono garantire un’adeguata sicurezza e protezione dei dati personali, mediante misure tecniche e organizzative adeguate, per evitare trattamenti non autorizzati o illeciti e per evitare la perdita e la distruzione accidentale dei dati (“integrità e riservatezza”).

Il PRINCIPIO DI FINALITÀ, che resta anche per il Regolamento UE uno dei fondamenti del trattamento dei dati, implica che la raccolta dei dati e il loro successivo utilizzo devono avere precise e determinate finalità, che vanno comunicate all’interessato e poi rispettate.

Per gli ETS le finalità del trattamento dei dati generalmente coincidono o sono compresi negli scopi istituzionali indicati nello statuto (anche se lo statuto è spesso generico, ed invece le finalità del trattamento vanno nel dettaglio specificate nell’informativa).

Informativa ex art. 13 ex art 14 GDPR

L’informativa è una comunicazione che serve per far conoscere all’interessato come il titolare gestisce e utilizza i dati che lo riguardano. È inoltre il presupposto essenziale perché l’interessato possa dare il consenso/autorizzazione al trattamento, quando questo è richiesto dalla legge.

Ai sensi dell’art. 13 l’informativa deve contenere:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati (Data Protection Officer o DPO), ove nominato;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) (esistenza di un “legittimo interesse del titolare del trattamento o di terzi” che non leda i diritti e le libertà fondamentali dell’interessato), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Inoltre, la stessa informativa deve contenere:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6 (Liceita’ del Trattamento), paragrafo 1, lettera a), oppure sull’articolo 9 (Trattamento di categorie particolari di dati personali), paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’informativa può essere anche orale; tuttavia, poiché il titolare dovrà comunque dimostrare di averla fornita, è evidente che una qualche forma scritta è consigliabile.

In relazione alle modalità di “consegna” dell’informativa ed alla validità ed efficacia della medesima si prospettano le seguenti:

– per quanto riguarda i nuovi soci, l’informativa può essere allegata o scritta sulla domanda di adesione all’associazione. Se è prevista una firma del modulo da parte dell’aspirante socio, nel modulo medesimo si potrà avvisare che la firma è richiesta e varrà anche come “presa visione” dell’informativa;

– l’informativa può essere anche spedita via e-mail. In questo caso può essere opportuno chiedere al destinatario di rinviare un messaggio di “conferma”, che l’ente potrà stampare o comunque conservare;

– l’informativa vale per tutti i trattamenti futuri che riguardano l’interessato, e va quindi fornita una sola volta, se il trattamento dei dati non cambia e rispetta le finalità indicate nell’informativa medesima;

– l’informativa deve essere comunicata solo a quei soggetti dei quali l’associazione raccoglie, registra o utilizza i dati, e tra costoro non rientrano quindi i beneficiari dell’attività istituzionale che l’ente non identifica.

L’informativa va comunicata/consegnata ai soci e/o volontari, ai collaboratori esterni, ai dipendenti, ai beneficiari e a tutti coloro di cui l’associazione acquisisce, conserva e utilizza dati personali, che si possono definire “interessati”.

La comunicazione/consegna va fatta nel momento in cui l’interessato fornisce i suoi dati all’associazione: in pratica la prima volta che la persona viene a contatto con l’ente.

Se i dati non sono raccolti direttamente presso l´interessato l’art. 14 del regolamento, prevede le informazioni da fornire ed esattamente:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) le categorie di dati personali in questione;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.

Oltre alle informazioni di cui al paragrafo 1, il titolare fornisce altresì le informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

c) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

e) il diritto di proporre reclamo a un’autorità di controllo;

f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

In merito ai termini entro i quali fornire le informazioni di cui ai paragrafi 1 e 2 l’art. 14 prevede:

a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure

c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Al comma 4 la norma disciplina l’ipotesi di utilizzo di dati per finalità diverse da quelle per cui sono stati ottenuti e prevede che: “prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2”.

Il comma 5 infine si occupa delle ipotesi di non applicazione dei precedenti commi da 1 a 4 prevendendo che:

“I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a) l’interessato dispone già delle informazioni;

b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;

c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge”.

Conservazione, aggiornamento e rettifica dei dati

In merito al tema della conservazione dei dati, si osserva che il GDPR, all’art. 9 comma 2 lett. d) (XI) consente l’utilizzo dei dati (sensibili leggesi particolari) degli ex soci anche senza specifico consenso, se tale utilizzo è svolto nell’ambito dell’attività dell’associazione e con adeguate garanzie (di protezione dei dati), con divieto però di comunicazione all’esterno (per tale comunicazione ci vuole il consenso specifico dell’ex socio). In applicazione del principio di proporzionalità e minimizzazione dei dati, i dati “trattenuti” dall’associazione dopo l’uscita del socio dovranno però essere strettamente inerenti alle specifiche attività “residue” (es. invio della newsletter, convocazione per eventi speciali, ecc.), e quindi potranno per esempio ridursi al nominativo e all’indirizzo mail.

Quanto all’aggiornamento o rettifica dei dati (art. 16 GDPR) (XII) deve essere svolto quando è necessario per il corretto raggiungimento delle finalità del trattamento o per soddisfare una legittima esigenza dell’interessato.

E’ chiaro interesse dell’associazione far sì che le informazioni relative ai soggetti con cui e a favore di cui opera siano aggiornati, e nella pratica ciò avviene comunemente, per iniziativa dell’associazione o dell’interessato che comunica all’associazione le variazioni intervenute (es. cambio di indirizzo).

L’aggiornamento/rettifica dei dati è anche un vero e proprio diritto dell’interessato.

Riassumendo:– nell’informativa di cui all’art. 13 GDPR andrà specificato quali dati l’associazione intende conservare anche dopo la cessazione del rapporto associativo, fermo restando l’avvertimento all’interessato che comunque, in ogni caso, il socio cessato potrà chiederne la cancellazione (cd Diritto all’oblio);

– dei dati del socio cessato è comunque vietata la comunicazione all’esterno o la diffusione (salvo esplicito consenso del socio);

– con le opportune cautele per evitarne la diffusione, l’associazione potrà, secondo i principi di cui sopra, conservare una sorta di “albo d’oro” con i nominativi di coloro che sono stati soci, attraverso una rubrica o albo cartaceo (o attraverso lo stesso libro soci “storico”) conservati in luogo non accessibile a terzi.

Diritti dell’interessato

La protezione dei dati è assicurata all’interessato anche attraverso l’esercizio dei diritti indicati dagli articoli da 15 a 22 (XIII) del GDPR.

Una precisazione preliminare è d’obbligo. Va infatti chiarito che l’interessato può esercitare i suoi diritti compatibilmente con le condizioni di liceità in base alle quali il titolare tratta i dati…”. La previsione normativa è chiaramente tesa ad effettuare un bilanciamento tra l’esigenza di protezione dei dati rafforzata attraverso i diritti riconosciuti dal GDPR ed il non rendere eccessivamente gravoso per i titolari il trattamento di dati in presenza di particolari condizioni di liceità.

In base a tali articoli l’interessato può infatti chiedere al titolare (e quindi all’ente non profit)

– di avere conferma che l’ente utilizza i suoi dati e di sapere quali siano questi dati;

– di conoscere l’origine dei dati (cioè come e da chi l’ETS li ha acquisiti), le finalità del trattamento, i soggetti a cui i dati vengono comunicati e il periodo di conservazione dei dati;

– di rettificare (correggere o integrare) i dati inesatti o incompleti (es. cambio di indirizzo o dello stato civile, aggiornamento del curriculum, ecc.);

– di cancellare i dati (cd. diritto “all’oblio”) quando il trattamento non è più necessario per il raggiungimento delle finalità per cui sono stati raccolti, o in caso di revoca del consenso, o in caso di trattamento illecito o negli altri casi previsti dall’art. 17 GDPR;

– di ottenere una “limitazione del trattamento” nei casi previsti dall’art. 18 GDPR;
– di poter trasferire i dati ad un altro titolare (diritto “alla portabilità dei dati”);

– di opporsi al trattamento dei suoi dati, anche se svolto correttamente dall’associazione, se sussistono “motivi particolari” (cioè particolari e valide ragioni: ad esempio se ha presentato domanda di recesso dall’associazione, o se il trattamento, anche se lecito, risulta lesivo della sua dignità o riservatezza);

– di opporsi al trattamento dei dati svolto per il “marketing diretto” (invio di materiale pubblicitario o vendita diretta o compimento di ricerche di mercato o di comunicazione commerciale);
– di non essere sottoposto ad una decisione basata su un “trattamento automatizzato” di dati (inclusa la cd. Profilazione).

Quindi ogni persona può chiedere ad ogni titolare (anche agli ETS) se e in che modo utilizza suoi dati personali e di esercitare i suddetti diritti. Tale richiesta che potrà pervenire tramite lettera raccomandata, fax o posta elettronica.

Dati particolari

L’art. 9 del GDPR (XIV) si presta ad alcune importanti considerazioni ed in particolare prendendo le mosse dalla formulazione testuale del comma 1, risulta di tutta evidenza in primo luogo un espresso divieto di trattamento di tutti quei dati che, oltre la soglia dei dati comuni, identificano il soggetto nella sua dimensione fisica e altresì in quella sociale contribuendo alla de-costruzione del prisma unitario dell’identità personale, per individuare le molteplici dimensioni della persona Il comma I, se nella prima parte richiama quanto previsto dall’art. 8 della Direttiva 95/46, con riferimento ai dati personali che rivelino l’appartenenza razziale o etnica o le convinzioni religiose e filosofiche, le opinioni politiche o l’appartenenza sindacale, se ne discosta quando contempla “dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. L’ambito delle categorie contemplate è davvero molto ampio: basti considerare i dati genetici, nonché i dati “dati biometrici”; tali categorie chiamano in causa, quanto a modalità e finalità di trattamento, diverse considerazioni in ordine non soltanto ai soggetti che possono essere a ciò preposti, ma anche in ordine alla valutazione preventiva ed ai protocolli di sicurezza che dovranno essere adottati nel trasferimento e nella circolazione dei dati. Se il comma 1 esordisce ponendo il divieto di trattamento con riferimento alle categorie di dati considerati, il comma seguente prevede una serie di eccezioni, che legittimano o rendono lecito il trattamento: nelle lettere da a) a j) vengono infatti individuate una serie di circostanze (sottratte all’applicazione del divieto) che possiamo raccogliere individuando tre macro-categorie, collegate all’interesse per la realizzazione/tutela del quale, le attività di trattamento vengono consentite. Una prima categoria può individuarsi con riferimento alle ipotesi nelle quali rileva un interesse individuale del soggetto dei cui dati si tratta e cioè che il soggetto abbia dato il suo consenso esplicito per una o più finalità (lett. a), che il soggetto abbia reso manifestamente pubblici quei dati (lett. e) oppure sia in considerazione un interesse vitale dell’interessato o di altra persona fisica e l’interessato sia in stato di incapacità e non possa prestare il proprio consenso (lett.c).

Una seconda categoria con riferimento all’interesse del titolare del trattamento e dell’interessato, cioè quando il trattamento sia necessario per “assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale” (lett.b); od ancora quando sia effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, con la duplice condizione 1) che l’ente agisca nell’ambito delle sue legittime attività e 2) con adeguate garanzie e che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità; nonché con l’ulteriore considerazione del divieto di comunicazione all’esterno senza il consenso dell’interessato (lett. d).

Una terza e più ampia categoria può individuarsi con riferimento a tutte le altre ipotesi, che riguardano situazioni di interesse generale, collegate all’attività di giustizia (lett. f.), all’esistenza di un interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, sempre nel rispetto dei principi di finalità e non eccedenza (lett. g), ed alle attività svolte a fini “di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” (lett. j); sempre in questa ampia categoria possono ricondursi le ipotesi previste alle lettere h) ed i), poste a tutela di interessi correlati alla tutela della salute, sia in dimensione individuale che collettiva, anche come prevenzione per il rischio di epidemie o diffusione di nuove patologie trattamento è necessario a fini di archiviazione nel pubblicoparagrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi.

Il GDPR contiene, al citato art. 9, una definizione (piuttosto generica) di “categorie particolari di dati personali”, che comprendono:

– DATI SENSIBILI, che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale”;

– DATI GENETICI e DATI BIOMETRICI intesi a identificare in modo univoco una persona fisica;

– DATI SANITARI (e cioè i dati relativi alla salute) o quelli relativi alla vita sessuale o all’orientamento sessuale della persona.
Gli ETS possono facilmente avere a che fare con dati “particolari” (sensibili): quelli dei beneficiari dell’attività sociale, quando operano proprio nei settori che il legislatore considera più delicati, come ad esempio l’ambito sanitario e della salute (ad es. chi lavora con malati, soggetti portatori di handicap o tossicodipendenti, ma anche con anziani portatori di patologie), l’ambito religioso o caratterizzato ideologicamente in senso politico, ma anche filosofico (ad es. un’associazione espressamente e “istituzionalmente” pacifista o antiproibizionista), l’ambito dell’appartenenza etnica (es. associazioni che lavorano con i nomadi o migranti).

In base all’art. 9 del GDPR si deve ritenere che sia dato “particolare” la stessa informazione circa l’appartenenza di una persona ad una associazione che abbia carattere istituzionalmente religioso o filosofico, mentre non sembra essere un dato “particolare” l’informazione dell’appartenenza a quelle associazioni (la maggior parte) che si richiamano genericamente a doveri e principi di solidarietà e altruismo.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL