Domanda: La normativa introdotta con la legge n. 675 del 1996, trova applicazione anche nei confronti delle Associazioni sindacali, quali le Organizzazioni professionali maggiormente rappresentative del settore agricolo, per quel che riguarda i dati personali dei propri associati ovvero di coloro che prestano attività di lavoro subordinato presso le strutture centrali e periferiche delle stesse Associazioni?

Risposta: Certamente si. In data 1 gennaio 2004 è entrato in vigore il Codice della privacy, introdotto dal D.lgs. 30 giugno 2003 n. 196, che ha abrogato la legge 675/1996. Gli oneri sono, peraltro, molto delicati, dal momento che i dati relativi agli associati, in quanto "dati idonei a rivelare l'appartenenza ad associazioni sindacali", devono essere considerati dati sensibili, soggetti ai più stringenti requisiti previsti dall'art. 26 del Codice della privacy.

Domanda: Presso un sindacato è norma registrare gli aderenti su un archivio elettronico il quale viene regolarmente usato per aggiornare la banca dati centrale sita in Roma.

In tal caso, la banca dati locale è da considerarsi come una banca dati diversa dalla banca dati centrale?

Deve, cioè, considerarsi il travaso di dati come comunicazione verso altri, anche se appartenenti alla medesima struttura?

A chi compete la responsabilità del "titolare", al segretario nazionale o al segretario territoriale?

Lo stesso dicasi per un'associazione che ha una banca dati anagrafica centrale costituita dall'insieme delle informazioni provenienti dalle sedi territoriali.

Risposta: Per rispondere in modo completo ed esaustivo occorrerebbe capire se le due banche dati sono gestite da soggetti (in senso giuridico) diversi o da uno stesso soggetto in due luoghi diversi. Da quanto sembra di capire, però, l'associazione locale è indipendente da quella nazionale, alla quale si limita ad aderire. Quindi - se effettivamente è così - siamo nella fattispecie della "comunicazione" di dati personali.

Attenzione, però, perché i dati in esame, in quanto idonei a rivelare l'appartenenza ad un sindacato, devono considerarsi "dati sensibili" ai sensi dell'articolo 4 comma 1 lett. d) del Codice della privacy, con tutte le maggiori tutele e i più gravosi adempimenti che la legge, come è noto, prevede.

Per quanto riguarda, infine, la titolarità delle banche dati, essa spetta ai responsabili legali delle associazioni (locale e nazionale) che trattano i dati. Per l'identificazione del titolare del trattamento occorre fare riferimento agli Statuti associativi che, in genere, individuano tale figura nel Presidente o nel Segretario generale.

Domanda: Siamo una associazione operante nel settore agricolo. In relazione alla Legge che abbiamo letto vorremmo formulare i seguenti quesiti di immediata valenza pratica:

a) il sistema informatico della Associazione ospita dati relativi a dichiarazioni redditi, dichiarazioni e documenti IVA, dati relativi ad altre imposte, dati relativi alla condizione previdenziale dei propri associati trattati dal proprio Patronato, dati relativi al tesseramento e alla adesione senza particolari elementi di qualificazione soggettiva delle persone, ma con alcune sintetiche rilevazioni di superfici aziendali e dati di produzione, dati relativi ai provvedimenti concessi dallo Stato italiano per provvidenze comunitarie. Si chiede se esistano e quali siano precisamente gli obblighi. Si chiede inoltre, da quando essi decorrano.

Risposta: Il caso da Voi sottoposto è, purtroppo per Voi, uno dei più delicati in relazione agli adempimenti richiesti dalla normativa sulla privacy. In primo luogo, occorre rilevare che la "Legge" cui si fa riferimento è la legge 675/1996, che è stata però abrogata dal Codice sulla privacy, introdotto dal D.lgs. 30 giugno 2003 n. 196 ed entrato in vigore in data 1 gennaio 2004.

I dati da Voi trattati, in quanto idonei a rivelare l'appartenenza ad un "sindacato", devono essere considerati "dati sensibili", sottoposti, pertanto, ad una maggior tutela.

Per i dati sensibili, infatti, è necessario acquisire il consenso scritto dell'interessato e dare allo stesso l'informativa, nonché operare nel rispetto delle autorizzazioni generali rilasciate dal Garante.

Il comma 4 dell'art. 26 del Codice della privacy, inoltre, prevede un'ipotesi di esenzione dalla raccolta del consenso per enti, associazioni od organismi senza scopo di lucro, a carattere sindacale, relativamente ai dati personali degli aderenti e dei soggetti che, per quelle finalità, hanno contatti regolari con l'associazione. Vengono però posti dei limiti:

1. devono essere rispettate le autorizzazioni rilasciate dal Garante;
2. i dati non devono essere comunicati e diffusi al di fuori del relativo ambito;
3. l'associazione determini idonee garanzie relativamente ai trattamenti effettuati.

Si ricordi, inoltre, che molte delle attività di trattamento effettuate nell'ambito della Vs. attività istituzionale rientrano senza dubbio nell'ambito di applicazione della normativa sulla privacy.

E' necessario, comunque, effettuare per ciascuna attività di trattamento dei dati personali una puntuale valutazione su:

1. quali tipo di dati personali vengono trattati;
2. quale è l'ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);
3. se vengono trattati dati sensibili (vi facciamo notare, ad esempio, che nella gestione delle buste paga, se nelle stesse è riportata la delega per la trattenuta sindacale, quello è un dato sensible; altra problematica legata ai dati sensibili è la gestione della sorveglianza sanitaria nell'ambito delle norme sulla sicurezza nei luoghi di lavoro: vedi al proposito l'intervento nelle news del nostro sito a ciò dedicato);
4. se vengono fatti trattamenti incompatibili con le finalità di raccolta (ad esempio nel caso di dati raccolti per le buste paga, utilizzati, magari, per compilare mailing di invio di pubblicazioni di categoria).

Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità alla legge, inoltre, non deve assolutamente essere trascurato l'aspetto della sicurezza degli archivi.