Privacy e volontariato: confini normativi e opportunità
33
Milano-Pavia, 30 novembre 2013 Privacy e volontariato: confini normativi e opportunità avv. Andrea Maggipinto
-
Upload
andrea-maggipinto -
Category
Education
-
view
283 -
download
0
description
Incontro formativo per il terzo settore
Transcript of Privacy e volontariato: confini normativi e opportunità
Milano-Pavia, 30 novembre 2013
Privacy e volontariato: confini normativi e opportunità
avv. Andrea Maggipinto
2
Agenda
n Scenario
n Linee guida della disciplina
n Il trattamento di dati sensibili e giudiziari
n Adempimenti privacy
n Q&A
3
Origini
diritto alla privacy = “right to be let alone” *
* The Right to Privacy, di Louis Brandeis e Samuel Warren (Harvard Law Review, 1890)
Privacy come rispetto del diritto all’inviolabilità della persona e del diritto fondamentale a “vivere indisturbata”
Ø diritto fondamentale della persona Ø frontiera avanzata del diritto
4
Nozione moderna
Dal diritto a “essere lasciato da solo” al diritto di mantenere il controllo sulla circolazione delle informazioni : Ø si differenza dal diritto alla riservatezza. Ø acquista una portata più ampia: non solo informazioni inerenti la vita privata, ma qualunque dato o informazione relativa a una persona, anche se non coperta da riserbo.
Necessità di conciliare le esigenze di riservatezza dell’individuo con le dinamiche della c.d. “Società dell’informazione” Ø la disciplina si riflette sulle operazioni che possono o che non possono essere effettuate sui dati personali di un individuo
5
Attuale scenario
Direttiva “Madre” 95/46/CE Legge 675/96 Decisione Quadro 2008/977/GAI
Direttiva 97/66/CE
Direttiva 2002/58/CE (e s.m.i.)
D.Lgs. 196/2003 (e s.m.i.)
6
Il “Codice Privacy” (D.Lgs. 196/2003)
Codice u Disposizioni generali
u Disposizioni relative a specifici settori
u Tutela dell’interessato e sanzioni
Allegati A) Codici di deontologia B) Disciplinare tecnico
in materia di misure minime di sicurezza
C) Trattamenti non occasionali per finalità giudiziarie o di polizia
7
Linee guida della disciplina
Ø Quando si applica Ø Definizioni rilevanti
Ø Dati personali Ø Soggetti coinvolti Ø Operazioni di trattamento
Ø Principi cardine Ø necessità Ø finalità e proporzionalità
Ø Informativa e consenso Ø Dati sensibili Ø Ulteriori adempimenti Ø Sanzioni
8
I soggetti coinvolti
Titolare del trattamento
Responsabile del trattamento
Incaricato del
trattamento
Incaricato del
trattamento
Responsabile del trattamento
Incaricato del
trattamento
Incaricato del
trattamento
Incaricato del
trattamento
9
Quando si applica il Codice Privacy? Art. 5: § Titolare stabilito nel territorio dello Stato o in un luogo sottoposto
alla sua sovranità (ancorché i dati siano detenuti all’estero) § Nel caso in cui il titolare sia stabilito in un altro Paese dell’Unione
Europea, troverà applicazione la legge del Paese di stabilimento § Trova applicazione il Codice privacy anche nell'ipotesi di
trattamento effettuato da soggetto stabilito nel territorio di un Paese non appartenente all'Unione europea che impiega strumenti situati nel territorio dello Stato (escluso il mero transito)
§ Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
10
Caso particolare: Caritas diocesana
Art. 181 comma 6 Codice Privacy (disposizioni transitorie): “Le confessioni religiose che, prima dell'adozione del presente codice, abbiano determinato e adottato nell'ambito del rispettivo ordinamento le garanzie di cui all'articolo 26, comma 3, lettera a), possono proseguire l'attività di trattamento nel rispetto delle medesime”. Ø Decreto generale CEI “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”
11
Caso particolare: Caritas diocesana
Si applica il Decreto generale CEI (e non la disciplina italiana) solo se:
n l’attività oggetto del trattamento è di religione e di culto e si realizza comunque per finalità pastorali di natura esclusivamente religiosa
n i dati raccolti non sono comunicati e/o diffusi all’esterno della Chiesa Cattolica
Nel caso in cui nei Centri di Ascolto si svolga primariamente un’attività assistenziale di “segretariato sociale” o ci sia comunque comunicazione e condivisone dei dati con altri Enti non religiosi, occorre dare piena applicazione al Codice della Privacy.
12
Organizzazioni di Volontariato
Volontariato: attività prestata in modo personale, spontaneo e gratuito, tramite l'organizzazione di cui il volontario fa parte, senza fini di lucro, esclusivamente per fini di solidarietà (Legge 266 del 11.8.1991; D.Lgs. 460 del 4.12.1997)
O.d.V. soggetti privati
Ø sottoposte alla disciplina generale in materia di trattamento dei dati e alla disciplina specifica in materia di trattamento di dati nel settore privato.
13
Diritti ..
L’interessato ha diritto di ottenere:
n l’accesso ai propri dati
n l’aggiornamento o la rettifica dei dati
n l’integrazione dei dati
n la cancellazione dei dati trattati in violazione della legge o del consenso
n l’attestazione dell’avvenuto aggiornamento, rettifica, integrazione o cancellazione
14
.. esercizio dei diritti
Esercizio dei diritti (art. 8): Ø senza formalità, anche tramite un incaricato Ø quando non riguarda dati di carattere oggettivo, può avere
luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni o altri apprezzamenti di tipo soggettivo
Modalità di esercizio (art. 9): Ø lettera raccomandata, telefax o posta elettronica, e anche
oralmente Riscontro all’interessato (art. 10): Ø comunicazione all’interessato (entro 15 giorni), in forma
intelligibile, anche oralmente
15
Principi cardine del trattamento dati
Ø Principio di necessità (art.3)
Ø Principio di finalità (art.11, comma 1, lett. b)
Ø Principio di proporzionalità (art.11, comma 1, lett. d)
16
Informativa privacy (art.13)
v È il più importante diritto riconosciuto dal Codice, ed è anche il primo strumento di controllo.
v L’informativa soddisfa l’esigenza di trasparenza ed è un requisito centrale del sistema di tutela dei dati.
v La privacy è un diritto partecipato (diritto a controllare il più possibile il flusso dei propri dati personali). Perché l’individuo possa “seguire” i dati che lo riguardano, è necessario fornire precise informazioni sull'utilizzo dei suoi dati.
17
Consenso (al trattamento)
Ø Per soggetti privati ed enti pubblici economici vige il principio del consenso (art. 23).
Condizioni per la validità del consenso:
q Espresso q Libero q Specifico q Informato
Ø Documentato per iscritto (per dati comuni) Ø Prestato in forma scritta (per dati sensibili)
18
Casi di esclusione (art. 24)
Il consenso non è richiesto se il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi contrattuali o per
adempiere a specifiche richieste dell'interessato nella fase pre-contrattuale;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
[...]
19
Casi di esclusione (art. 24) e) è necessario per la salvaguardia della vita o dell'incolumità
fisica di un terzo. Se non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria;
g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato (bilanciamento di interessi);
20
Casi di esclusione (art. 24) h) con esclusione della comunicazione all'esterno e della
diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13 (v. anche art. 26 c. 4);
i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico;
i-bis) riguarda dati contenuti nei curricula; i-ter) con esclusione della diffusione e fatto salvo quanto previsto
dall'articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate.
21
Dati sensibili: consenso e autorizzazione
Ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo: (i) previa autorizzazione di questa Autorità (ii) e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti.
22
Autorizzazioni generali Ø Autorizzazione generale n. 1/2012 al trattamento dei dati sensibili
nei rapporti di lavoro Ø Autorizzazione generale n. 2/2012 al trattamento dei dati idonei a
rivelare lo stato di salute e la vita sessuale Ø Autorizzazione generale n. 3/2012 al trattamento dei dati sensibili
da parte degli organismi di tipo associativo e delle fondazioni Ø Autorizzazione generale n. 4/2012 al trattamento dei dati sensibili da
parte dei liberi professionisti Ø Autorizzazione generale n. 5/2012 al trattamento dei dati sensibili da
parte di diverse categorie di titolari Ø Autorizzazione generale n. 6/2012 al trattamento dei dati sensibili da
parte degli investigatori privati Ø Autorizzazione generale n. 7/2012 al trattamento dei dati a
carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici
Ø Autorizzazione generale n. 8/2012 al trattamento dei dati genetici Ø Autorizzazione generale n. 9/2012 al trattamento dei dati personali
effettuato per scopi di ricerca scientifica
23
Dati giudiziari (senza consenso, ma..) Art. 27. Garanzie per i dati giudiziari 1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall'articolo 21, comma 1 bis.
[art. 21 c. 1. bis.: Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'interno o con i suoi uffici periferici di cui all'articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili]
24
Autorizzazione generale n. 7/2012 Autorizza il trattamento dei dati giudiziari di cui all'art. 4, comma 1, lett. e) del Codice, per le finalità di rilevante interesse pubblico ivi specificate e secondo le prescrizioni indicate. Prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
25
Notifica al Garante (art. 37) Ø Generale assenza dell’obbligo Ø Alcuni trattamenti oggetto di notifica:
q dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
q dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
q dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
Ø Invio telematico con firma digitale; Ø I titolari non tenuti alla notificazione forniscono le notizie
contenute nel modello di notifica a chi ne fa richiesta.
26
Misure di sicurezza e privacy
Art. 31 d.lgs.
196/2003
Art. 33 d.lgs.
196/2003
Responsabilità penale
Individuate dal Disciplinare tecnico
(allegato B)
Misure “minime”
Responsabilità civile
Misure di sicurezza individuabili sulla base di
soluzioni tecniche concretamente
disponibili
Misure “idonee”
27
Condivisione di dati
Ente
Ente
Ente Ente
Ente
28
PA e organizzazioni di volontariato
Art. 20 (Dati sensibili e PA) 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è
consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento.
Art. 70 (Volontariato): definisce di rilevante interesse pubblico le finalità di applicazione della disciplina in materia di rapporti tra i soggetti pubblici e le organizzazioni di volontariato.
29
Altre finalità di rilevante interesse
Art. 73: provvede a definire di rilevante interesse pubblico le finalità socio-assistenziali, con particolare riferimento a:
n interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o familiare;
n interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi compresi i servizi di assistenza economica o domiciliare,di accompagnamento;
n assistenza nei confronti dei minori, anche in ordine a vicende giudiziarie;
n indagini psico-sociali relative a provvedimenti di adozione anche internazionale;
n …
30
Altre finalità rilevanti
n compiti di vigilanza per affidamenti temporanei; n iniziative di vigilanza e di sostegno in riferimento al
soggiorno di nomadi n assegnazione di alloggi di edilizia residenziale pubblica;
31
La Privacy di domani Necessità di un nuovo quadro giuridico per la protezione dei dati personali nell’Unione Europea
q Regolamento Europeo del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)
q Direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati
32
Verso una nuova disciplina
v Privacy by Design v Accountability v Minimizzazione dei dati v Conservare documenti sul “modello organizzativo e di
sicurezza privacy” v Diritto all’oblio (salvo però specifici obblighi di legge,
garanzie della libertà di espressione e continuità della ricerca storica)
v Diritto dell’interessato alla "portabilità del dato" v Maggiori poteri, anche sanzionatori, del Garante v Notifica delle violazioni all’Autorità v Nomina del c.d. “Data Protection Officer” v Introdotto il requisito del “privacy impact assessment”
