5 minute read
6.2. Gli adempimenti per le ODV
utilizzino o conservino dati relativi al passato o presente giudiziario degli aderenti o dei beneficiari. Il Garante ha regolato il trattamento di dati giudiziari con l’autorizzazione n. 7 del 19.12.2009 che consente il trattamento di dati giudiziari dei soci e dei beneficiarianche ad associazioni di volontariato quando il trattamento è indispensabile per perseguire scopi determinati e legittimi individuati dall’atto costitutivo o dallo statuto.
Per il trattamento dei dati giudiziari non è prevista alcuna acquisizione del consenso dell’interessato.
6.2. Gli adempimenti per le ODV
6.2.1. L’informativa
L’informativa è una comunicazioneche serve per far conoscere all’interessato come il titolare del trattamento dei dati personali gestisce e utilizza i dati che lo riguardano. Essa costituisce, inoltre, il presupposto essenziale perché l’interessato possa dare il consenso al trattamento, quando questo è richiesto dalla Legge.
Il contenuto dell’informativa è indicato nell’art. 13 del Codice: l’interessato deve essere previamente informato oralmente o per iscritto circa le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati medesimi; i diritti di cui all’articolo 7; gli estremi identificativi del titolare e del responsabile.
Tuttavia tale informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini di un’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contratto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una breve informativa (art. 13 comma 5 bis, aggiunto dal D.Lgs. 70/2011).
L’informativa (insieme al consenso, ove richiesto) costituisce per le ODV, soprattutto le più piccole, un’incombenza quasi insormontabile; al contrario è possibile ovviare a tale «scomodità» adottando una delle strategie di seguito proposte: –per quanto riguarda i nuovi soci, l’informativa può essere allegata o scritta sulla domanda di adesione all’associazione; –per quanto riguarda i vecchi soci può essere anche spedita via fax o via
109
e-mail. Del fax è consigliabile conservare la ricevuta di avvenuto invio; dell’e-mail può essere opportuno chiedere al destinatario di rinviare un messaggio di conferma che l’associazione potrà stampare e conservare.
L’informativa va fornita all’interessatouna sola volta se il trattamento dei dati non cambia e rispetta le finalità indicate nell’informativa medesima.
Preme specificare che l’informativa deve essere comunicata solo a quei soggetti dei quali l’associazione raccoglie, registra o utilizza i dati, non anche ai beneficiari dell’attività istituzionale che l’ODV non identifica.
6.2.2. Il consenso L’art. 23 stabilisce che il consenso al trattamento dei dati personali fornito dall’interessato deve essere: – espresso, cioè esplicito e manifestato in modo inequivocabile; – libero, cioè manifestato liberamente dal soggetto; – specifico, ovvero riferito ad uno o più trattamenti individuati e aventi specifiche finalità; – informato, ovvero preceduto dall’informativa di cui all’art. 13; – documentato per iscritto in caso di dati sensibili, per le altre tipologie di dati l’associazione può anche ottenere il consenso oralmente e contestualmente annotare di averlo ricevuto in un apposito registro (o nel libro soci) da conservare in sede.
Per maggiore sicurezza è, tuttavia, consigliabile ottenere una sottoscrizione dell’interessato o conservare una prova dell’avvenuta autorizzazione. Si possono utilizzare le stesse strategie già individuate nel precedente paragrafo a proposito dell’informativa, anche perché la richiesta di consenso deve essere sempre preceduta o accompagnata dall’informativa.
Nonostante il silenzio del Codice, occorre tener ben presente che, se l’interessato è minorenne il consenso va prestato da chi ha la rappresentanza legale, e cioè i genitori che hanno la patria potestà o il tutore.
6.2.3. Figure responsabili del trattamento dei dati personali Il soggetto che si deve in primo luogo preoccupare di utilizzare in modo corretto i dati personali, cioè con modalità tali da rispettare i diritti e le libertà fondamentali, nonché la dignità dell’interessato, è il “titolare del trattamento”.
Titolare del trattamento è l’associazione e non le persone fisiche che ne fanno parte. È utile precisare che, ai fini dell’applicazione del Codice, non
110
è necessario che l’associazione sia iscritta nell’apposito registro del volontariato ex L. 266/1991.
Nell’ipotesi in cui l’associazione abbia anche sezioni locali o organismi periferici l’art. 28 prevede che anche questi ultimi debbano essere considerati titolari del trattamento qualora esercitino un potere decisionale del tutto autonomo sulle finalità e sulle modalità di trattamento, ivi compreso il profilo della sicurezza.
I titolari devono notificare al Garante il fatto di svolgere un trattamento di dati personali solo nei casi specificamente e tassativamente indicati dall’art. 37 del Codice.Si tratta di quelle associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale (cd. «organizzazioni di tendenza») che trattano dati idonei a rivelare la vita sessuale o la sfera psichica.
Un’altra figura da considerare è il cd. Responsabile del trattamento, la cui nomina è facoltativa e non obbligatoria.
Il Responsabile è preposto dal titolare al trattamento dei dati personali (art. 4) ed è scelto tra persone con esperienza, capacità e affidabilità. I compiti del responsabile sono individuati per iscritto dal titolare (art. 29).
Il Responsabile sarà generalmente una persona esperta o che si occupa dei trattamenti mediante computer e vigila sulle misure di sicurezza da adottare.
Da ultimo va considerata la figura degli incaricati. Si tratta delle persone fisiche autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento di dati personali; più precisamente si tratta di coloro che, addetti ai terminali e agli archivi, materialmente si occupano delle fasi di raccolta, gestione, elaborazione e conservazione dei dati personali, operando sotto la diretta autorità del titolare o responsabile e attenendosi alle istruzioni impartite.
6.2.4. Le misure di sicurezza Dal trattamento dei dati personali di un soggetto raccolti dall’associazione possono derivare danni connessi al rischio di distruzione o perdita anche accidentale dei dati stessi, all’accesso non autorizzato o ancora al trattamento non consentito o non conforme alle finalità per cui i dati sono stati raccolti.
Per evitare tali situazioni il Codice della privacy impone al titolare del trattamento di adottare tutte quelle misure di sicurezza idonee e preventive atte a ridurre al minimo ogni tipo di danno a terzi.
Una particolare attenzione va rivolta alle cd. misure minime di sicurezza, all’adozione delle quali sono tenute tutte le associazioni che, per la ge-
111
