Codice PrivacyAutorizzazioni GeneraliAnno 2009Autorizzazione n. 3/2009 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioniAutorizzazione n. 3/2009 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
Autorizzazione n. 3/2009 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
| 9) Norme finali.< --- |
|---|
Autorizzazione n. 3/2009 al
trattamento dei
dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
(G.U. n. 13 del 18 gennaio 2010 - suppl. ord. n. 12)
Registro delle deliberazioni
Del. n. 39 del 16 dicembre 2009
IL GARANTE PER LA PROTEZIONE DEI
DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
Visto altresì il comma 4, lett. a), del citato art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, "quando il trattamento è effettuato da associazioni, enti ed organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'
informativa ai sensi dell'articolo 13";
Visto il comma 3, lettere a) e b), del predetto art. 26, il quale stabilisce che la disciplina di cui al relativo comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni; b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria;
Rilevato che le confessioni di cui alla lettera a) del medesimo art. 26, comma 3, devono determinare idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei princìpi indicati al riguardo con autorizzazione del Garante;
Visto l'art. 181, comma 6, del Codice secondo cui le confessioni religiose che, prima dell'adozione del medesimo Codice, abbiano determinato e adottato nell'ambito del rispettivo ordinamento le garanzie di cui al predetto art. 26, comma 3, lett. a), possono proseguire l'attività di trattamento nel rispetto delle medesime;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2009, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice e, in particolare, efficaci per il periodo di diciotto mesi;
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice;
Considerato che un elevato numero di trattamenti di dati sensibili è effettuato da enti ed organizzazioni di tipo associativo e da fondazioni, per la realizzazione di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o da un contratto collettivo;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle
misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli articoli 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Autorizza
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice da parte di associazioni, fondazioni, comitati ed altri organismi di tipo associativo, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
Dalla Parte del Paziente
SSOP Modalità controllo stabilimenti abilitati export
Allegato bando attività VI 1.2