Il 1° gennaio 2004 è entravo in vigore il Codice in materia di protezione dei dati personali (D.Lgs 196/2003), che ha sostituito la vecchia legge 675/96.
Il Codice delinea chiaramente una serie di compiti e responsabilità rispetto all'applicazione della disciplina in materia di privacy.
I presupposti affinché il trattamento dei dati personali sia lecito sono: Il rispetto della legge e del Codice, con particolare riferimento alla misure di sicurezza; L'acquisizione previa del consenso informato; Il rispetto delle indicazioni del Garante contenute nelle autorizzazioni generali o particolari, che devono precedere l'inizio del trattamento dei dati (per i dati sensibili).
Le sanzioni specifiche in materia di privacy sono alquanto pesanti: si va dalla responsabilità penale a quella civile e il titolare del trattamento dei dati può essere in ogni caso chiamato a risarcire il danno cagionato all'interessato in conseguenza del trattamento errato o fraudolento dei dati personali altrui.
ALCUNE DEFINIZIONI
trattamento di dati: qualunque operazione effettuata anche senza l'ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. (D.Lgs 196/2003 art. 4 c. 1 l. a)
dato personale: qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. (D.Lgs 196/2003 art. 4 c. 1 l. b)
dato sensibile: dato personale idoneo a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. (D.Lgs 196/2003 art. 4 c. 1 l. d)
titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. (D.Lgs 196/2003 art. 4 c. 1 l. f)
Cosa occorre fare
Qualora un'associazione tratti soltanto dati comuni, dovrà somministrare all'interessato un'informativa in cui sia esplicitato in modo chiaro ed esaustivo l'ambito del trattamento dei suoi dati. Se poi i dati raccolti non rimangono all'interno dell'associazione ma vengono comunicati all'esterno, sarà necessario raccoglierne il consenso. Qualora un'associazione tratti anche dati sensibili e/o giudiziari, essa dovrà somministrare all'interessato l'informativa e acquisirne il consenso scritto e, nel caso in cui i dati siano tenuti su supporto informatico, dovrà essere adottato il Documento Programmatico di Sicurezza (DPS). In entrambi i casi, dovranno sempre essere adottate le misure minime di sicurezza.
l titolare del trattamento dei dati sensibili o giudiziari deve acquisire, oltre il consenso scritto dell'interessato, anche la previa autorizzazione del Garante. In luogo di specifica autorizzazione, il titolare si può giovare delle Autorizzazioni generali del Garante, come nel caso degli organismi di tipo associativo. Le Autorizzazioni generali attualmente in vigore sono 7 e riguardano: i rapporti di lavoro (aut. n. 1/2004), i dati sulla salute e le vita sessuale (aut. n. 2/2004), le associazioni e fondazioni (aut. n. 3/2004), i liberi professionisti (aut. n. 4/2004), le attività creditizie, assicurative, i sondaggi, l'elaborazione dati e da altre attività private (aut. n. 5/2004), gli investigatori privati (aut. n. 6/2004) e i dati di carattere giudiziario (aut. n. 7/2004). Le autorizzazioni sono efficaci dal 1° gennaio 2006 al 30 giugno 2007.
In particolare, l'autorizzazione generale n° 3/2004 riguarda il trattamento dei dati sensibili da parte di organismi di tipo associativo e delle fondazioni.
La scadenza che riguarda l'adozione del Documento Programmatico di Sicurezza è: 31 marzo 2007.
Le autorizzazioni generali attualmente in vigore hanno efficacia: dal 1° gennaio 2006 al 30 giugno 2007
PER SAPERNE DI PIU'
"Gli adempimenti della privacy per organizzazioni di volontariato e altri enti non profit" a cura di Marco Quiroz Vitale, in Collana "Quaderni per il Volontariato" n° 10 - anno 2004.
Il 1° gennaio 2004 è entravo in vigore il Codice in materia di protezione dei dati personali (D.Lgs 196/2003), che ha sostituito la vecchia legge 675/96. 
Qualora un'associazione tratti soltanto dati comuni, dovrà somministrare all'interessato un'informativa in cui sia esplicitato in modo chiaro ed esaustivo l'ambito del trattamento dei suoi dati. Se poi i dati raccolti non rimangono all'interno dell'associazione ma vengono comunicati all'esterno, sarà necessario raccoglierne il consenso. Qualora un'associazione tratti anche dati sensibili e/o giudiziari, essa dovrà somministrare all'interessato l'informativa e acquisirne il consenso scritto e, nel caso in cui i dati siano tenuti su supporto informatico, dovrà essere adottato il Documento Programmatico di Sicurezza (DPS). In entrambi i casi, dovranno sempre essere adottate le misure minime di sicurezza.
