Le prescrizioni del Garante privacy relative al trattamento di particolari categorie di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

 Garante per la protezione dei dati personali: provvedimento n. 146 del 5 giugno 2019

Premessa

L’art. 21 del recente decreto legislativo n. 101/2018, dando attuazione a quanto previsto dalle disposizioni del Regolamento europeo sulla protezione dei dati personali, dopo aver abrogato le autorizzazioni generali che erano già state adottate in precedenza dal Garante privacy, ha affidato al Garante privacy il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute in dette autorizzazioni generali relative alle situazioni di trattamento dei dati necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento e quelli necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento nonché di trattamento dei dati necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale e dei dati genetici, biometrici o relativi alla salute ed infine i trattamenti di cui al Capo IX del Regolamento europeo (cioè i trattamenti effettuati a scopi giornalistici o di espressione accademica, artistica o letteraria; i trattamenti per l’accesso ai documenti amministrativi; i trattamenti del numero di identificazione nazionale; il trattamento dei dati nell’ambito dei rapporti di lavoro; i trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici).

Al fine di dare concreta applicazione al suddetto articolo, il Garante privacy ha adottato il provvedimento in esame, il quale reca appunto le prescrizioni relative ad alcune delle situazioni di trattamento di cui si è appena detto.

In particolare, oggetto del presente commento sono le prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (già oggetto della autorizzazione generale del garante privacy n. 3/2016).

Ambito di applicazione  

Il primo aspetto che viene esaminato nel provvedimento del Garante ha ad oggetto l’ambito di applicazione delle prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose.

Nello specifico il provvedimento stabilisce che le prescrizioni in esso contenute si applicano a:

  1. associazioni, anche non riconosciute, partiti e movimenti politici, associazioni e organizzazioni sindacali, patronati associazioni di categoria, casse di previdenza, organizzazione assistenziale di volontariato in generale tutti gli enti del terzo settore e agli organismi nei quali essi siano eventualmente riuniti;
  2. fondazioni, comitati e tutti gli altri enti o organismi senza scopi di lucro (comprese le ONLUS), indipendentemente dal fatto che essi siano dotati o meno di personalità giuridica;
  3. cooperative sociali e Società di mutuo soccorso,
  4. istituti scolastici (soltanto per quanto riguarda i dati che rivelino le convinzioni religiose degli interessati);
  5. chiese, associazioni o comunità religiose.

Gli interessati 

Il secondo aspetto preso in considerazione dal provvedimento del Garante riguarda i soggetti che sono interessati dai trattamenti di cui sopra e quindi ai quali detti dati si riferiscono.

In particolare, viene previsto che le prescrizioni del provvedimento debbano applicarsi ai dati personali, appartenenti alle categorie particolari di cui al regolamento europeo, che si riferiscano ai seguenti soggetti:

  1. gli associati, i soci nonché i loro familiari o conviventi (questi ultimi nel caso in cui raccogliere i loro dati sia necessario per raggiungere le finalità perseguite dall’ente);
  2. gli aderenti, i sostenitori o i sottoscrittori e coloro i quali richiedano di essere ammessi o di aderire a organizzazioni e enti di tipo associativo, fondazioni, chiese e comunità religiose oppure coloro i quali abbiano contatti regolari con tali organismi;
  3. i soggetti che ricoprono cariche sociali o onorifiche;
  4. i beneficiari, gli assistiti e i fruitori delle attività o dei servizi prestati dagli organismi di cui sopra e in generale soggetti nell’interesse dei quali operano detti organismi;
  5. gli studenti già iscritti o quelli che hanno richiesto l’iscrizione agli istituti scolastici (nel caso in cui tali soggetti siano minori, saranno “interessati” anche i genitori o coloro i quali esercitano la potestà);
  6. i lavoratori dipendenti degli associati e dei soci, per quanto riguarda i dati idonei a rivelare l’adesione a sindacati o organizzazioni di carattere sindacale nonché per le operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi.

Le finalità del trattamento 

Il provvedimento in esame si occupa anche delle finalità del trattamento.

In particolare, è previsto che i dati particolari possono essere trattati per perseguire scopi determinati e legittimi individuati dalla legge, dall’atto costitutivo, dallo statuto o dal contratto collettivo e nello specifico per perseguire finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione, di formazione, di patrocinio, di tutela dell’ambiente e delle opere di interesse artistico e storico, salvaguardia dei diritti civili, di beneficenza, assistenza sociale o socio-sanitaria.

In secondo luogo, i dati particolari possono essere trattati altresì per far valere o difendere un diritto in sede giudiziaria, anche da parte di soggetti terzi, nonché in sede amministrativa o arbitrale o di conciliazione.

Inoltre, detti dati possono essere trattati anche per esercitare il diritto di accedere ai documenti amministrativi.

Infine, detti dati possono essere trattati anche per compiere la tenuta di registi e scritture contabili e in generale dei documenti necessari per la gestione amministrativa di enti e organizzazioni di tipo associativo, fondazioni, chiese o comunità religiose nonché per l’adempimento da parte di questi ultimi degli obblighi fiscali o per la diffusione di riviste e documenti simili.

In conclusione, il provvedimento stabilisce che i soggetti nei cui confronti si applica il provvedimento stesso possono avvalersi di altri soggetti (per es. liberi professionisti) per perseguire le finalità di cui sopra ed in tal caso detti consulenti possono compiere il trattamento dei soli dati particolari strettamente indispensabili per poter svolgere la consulenza a favore dei soggetti di cui sopra e sempre sulla base di un conferimento di incarico scritto e previa fornitura della relativa informativa privacy agli interessati.

Prescrizioni specifiche

Per quanto riguarda le prescrizioni specifiche previste dal provvedimento del Garante con riferimento alle categorie particolari di dati trattati dagli organismi di tipo associativo, dalle fondazioni, dalle chiese e associazioni o comunità religiose, viene introdotta la regola per cui i dati personali relativi agli associati o aderenti a tali organismi possono essere comunicati agli altri associati o aderenti, anche qualora manchi il consenso degli interessati, nel caso in cui ciò sia previsto dall’atto costitutivo o d allo statuto per perseguire scopi determinati e legittimi e previa fornitura della relativa informativa privacy agli interessati. Per stemperare tale principio nelle ipotesi più delicate, il provvedimento prevede poi che nel caso in cui sussistano dei profili esclusivamente personali relativi agli associati o aderenti, prima di procedere alla comunicazione di tali dati, gli interessati devono essere consultati in maniera individuale e deve essere adottata ogni misura opportuna per impedire che tali dati possano venire a conoscenza di soggetti diversi dal destinatario.

Per quanto riguarda, invece, la comunicazione dei dati personali relativi ad associati o aderenti all’esterno dell’ente e la loro diffusione, queste possono avvenire soltanto nel caso in cui ci sia il consenso degli interessati e dopo aver loro reso l’informativa privacy relativa alla tipologia di destinatari e alla finalità della comunicazione e sempre nel caso in cui i dati siano pertinenti rispetto alla finalità perseguita.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento