Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Adeguamento privacy degli enti ecclesiastici, alla luce del “nuovo” decreto generale della CEI: linee guida

La CEI ha approvato il nuovo Decreto Generale in materia di tutela del diritto alla buona fama e alla riservatezza per armonizzare la disciplina canonica alla normativa in materia di protezione dei dati personali e in particolare al GDPR. Ecco i punti di contatto tra le due norme e le linee guida per una piena compliance

29 Ott 2019
L
Alberto Linfante

GDPR & Data Protection Specialist


La Conferenza Episcopale Italiana, assemblea permanente dei vescovi italiani, in occasione della 71° Assemblea Generale tenutasi dal 21 al 24 maggio 2018, ottenuta la debita Recognitio della Santa Sede, ha approvato il nuovo Decreto Generale in materia di tutela del diritto alla buona fama e alla riservatezza.

La revisione ha comportato un aggiornamento delle precedenti disposizioni previste dal Decreto, risalenti al 1999, al fine di armonizzare la disciplina canonica alla recente evoluzione normativa in materia di protezione dei dati personali ed in particolare al Regolamento (UE) 2016/679 (GDPR).

Autonomia della Chiesa cattolica e Regolamento europeo

In attuazione dei principi di autonomia e di indipendenza della Chiesa cattolica, riconosciuti dall’art. 7 della Costituzione italiana (“Lo Stato e la Chiesa cattolica sono, ciascuno nel proprio ordine, indipendenti e sovrani”) e dalla Costituzione pastorale del Concilio Vaticano II, Gaudium et spes, n. 76 (“La comunità politica e la Chiesa sono indipendenti e autonome l’una dall’altra nel proprio campo. Tutte e due, anche se a titolo diverso, sono a servizio della vocazione personale e sociale delle stesse persone umane”), il Decreto rappresenta un autonomo corpus di norme direttamente, ed in via esclusiva, applicabili al trattamento dei dati personali connesso alle attività istituzionali della Chiesa quali, a titolo esemplificativo:

  • la tenuta dei registri relativi alla celebrazione di sacramenti:
  • gli elenchi del catechismo;
  • l’attività e le procedure dei Tribunali ecclesiastici;
  • la pubblicazione di annuari e bollettini.

Per tutto quanto non disposto e relativo ad aspetti non peculiari delle attività tipicamente ecclesiastiche trova applicazione il Regolamento europeo, come ad esempio per le scuole diocesane o parrocchiali e le opere di assistenza (ospedali, case di riposo, ambulatori).

La disciplina del Decreto e i punti di contatto con il GDPR

Il Decreto Generale, all’art. 3, ricalca i medesimi principi applicabili al trattamento dei dati personali, pervisti dall’art. 5 del GDPR, ovvero:

  • liceità, correttezza e trasparenza;
  • limitazione delle finalità;
  • minimizzazione dei dati;
  • limitazione della conservazione al tempo strettamente necessario al perseguimento delle finalità di raccolta;
  • integrità e riservatezza dei dati personali trattati.

Liceità del trattamento dati negli enti ecclesiastici

A differenza del Regolamento europeo, il Decreto non distingue le condizioni di liceità per il trattamento di dati “particolari” (ex art. 9 GDPR) da quelle per il trattamento dei dati c.d. “comuni” (ex art. 6 GDPR).

Le ragioni potrebbero ricercarsi nella circostanza che anche un semplice nome o cognome, risultanti da un registro ecclesiastico, sarebbero da considerarsi dati di natura particolare, essendo idonei a rivelare le convinzioni religiose del soggetto interessato.

Pertanto, i presupposti di liceità del trattamento risultano così complessivamente determinati dall’art. 4 del Decreto:

  1. il consenso, informato, espresso ed inequivocabile dell’interessato o dell’esercente la responsabilità genitoriale qualora l’interessato sia minore; l’acquisizione di uno specifico consenso è necessaria, ad esempio, per la pubblicazione di foto sui canali social della parrocchia; il consenso dell’interessato è inoltre, coerentemente con quanto previsto dal GDPR, sempre revocabile;
  2. un obbligo legale, previsto dalle norme canoniche o dalle norme civili;
  3. l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; a tal proposito, sono da considerarsi di interesse pubblico le finalità relative allo svolgimento dei rapporti istituzionali tra le autorità pubbliche e le Chiese, le associazioni o le comunità religiose.
  4. la finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. il legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato; è questo il caso, ad esempio, dell’iscrizione di minori alle attività di catechismo, per le quali non è necessario il consenso dei genitori o per la partecipazione a centri estivi (oratori. Gr.est., T.E.E.), in quanto il trattamento è fondato sul legittimo interesse della parrocchia a svolgere “la sua missione pastorale, educativa e caritativa, di evangelizzazione e di santificazione”; il consenso è richiesto invece per la pubblicazione di foto o video o in caso di segnalazione, ad esempio, di eventuali allergie o intolleranze;
  6. la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  7. il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.

I soggetti: titolare, responsabile del trattamento, incaricati ed RPD

Il Decreto Generale, in linea con la definizione del GDPR, individua il titolare del trattamento nella “persona fisica o giuridica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali”.

Il titolare del trattamento non necessita di specifica individuazione o nomina ma è tale ipso facto, ovvero in ragione della funzione e delle attività che effettivamente svolge.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

L’Ufficio Nazionale per i Problemi Giuridici della Conferenza Episcopale Italiana (in seguito “Ufficio”) ha fornito alcune indicazioni utili all’individuazione del titolare del trattamento, per le quali lo stesso è da ricercarsi nella “persona giuridica responsabile della cura, dell’aggiornamento e della custodia dei dati personali”.

Il riferimento alla “persona giuridica”, e non anche a quella “fisica”, trova giustificazione nella valutazione di inopportunità di identificare il titolare del trattamento nella figura del singolo Vescovo o, piuttosto, del parroco, anche in relazione alla difficoltà di informare gli interessati in caso di cambiamenti.

Pertanto, titolare del trattamento dovranno considerarsi, ad esempio la Diocesi per i database, gli archivi e i registri della Curia, la Parrocchia per gli elenchi del catechismo, i registri parrocchiani e via dicendo.

Il responsabile del trattamento e gli incaricati

Il responsabile del trattamento è definito, anche in questo caso in piena coerenza con quanto previsto dal Regolamento europeo, dall’art. 2 del Decreto, come “la persona fisica o giuridica, il servizio o altro organismo che tratta i dati per conto del titolare del trattamento”.

Anche con riguardo alle organizzazioni ecclesiastiche deve ritenersi accoglibile il prevalente orientamento che individua il responsabile del trattamento in un soggetto esterno all’organizzazione del titolare.

Il responsabile deve essere specificamente designato, attenersi alle istruzioni opportunamente impartite ed adottare le adeguate misure tecniche ed organizzative stabilite dal titolare del trattamento.

Il responsabile non va dunque confuso con le persone interne all’organizzazione del titolare (ad esempio: Cancelliere, segretaria parrocchiale ecc.), le quali assumono il ruolo di soggetti “incaricati” o, più opportunamente, “autorizzati” al trattamento.

Gli autorizzati devono ricevere opportune istruzioni ed essere adeguatamente formati per lo svolgimento sicuro ed appropriato delle operazioni di trattamento correlate alle proprie funzioni e mansioni.

Il responsabile della protezione dati

Una questione sicuramente interessante nell’ambito delle organizzazioni ecclesiastiche è quella relativa alla sussistenza o meno dell’obbligo, e a quali condizioni, di nomina del Responsabile della Protezione Dati (RPD o Data Protection Officer), ovvero di un professionista, qualificato, appositamente incaricato della vigilanza sulla corretta applicazione delle disposizioni in materia di protezione dei dati personali.

Anche in relazione a tale quesito, l’Ufficio ha fornito alcune preziose indicazioni, stabilendo quanto segue:

È consigliabile che ogni regione ecclesiastica o più diocesi limitrofe si organizzino per individuare un Responsabile della Protezione dei dati. È consigliabile che esso abbia le seguenti caratteristiche:

  1. conoscenza del mondo ecclesiastico;
  2. esperienza nell’ambito della sicurezza informatica;
  3. conoscenza della normativa civile e canonica;
  4. disponibilità a partecipare agli incontri nazionali organizzati dalla CEI”.

Registri dei sacramenti e atti di culto

Il Decreto Generale della CEI stabilisce una peculiare disciplina in ordine ai registri dei sacramenti, destinatari anch’essi di specifiche indicazioni applicative da parte dell’Ufficio.

La disciplina riguarda, in particolare, i registri canonici di: battesimo, matrimonio, defunti, onere delle pie fondazioni, messe intenzionate, cresime, legati, catecumeni, ordinazioni, ordo virginium, prime comunioni.

In relazione al trattamento dei dati necessari alla compilazione di tali registri non va acquisito alcun consenso, in quanto la base giuridica è da ricercarsi nell’adempimento di un obbligo previsto dalle norme canoniche (ad eccezione del registro delle prime comunioni, non obbligatorio ma fortemente raccomandato dalla CEI – delibera n. 8).

Ulteriore indicazione dell’Ufficio, che personalmente ritengo meno serenamente condivisibile, è quella secondo la quale non occorre fornire agli interessati alcuna informativa in relazione al trattamento dei propri dati personali da trascrivere all’interno dei registri menzionati.

Il soggetto interessato può, inoltre, richiedere certificati (ad esempio il certificato di battesimo) ma non consultare i propri dati contenuti nel relativo registro (nell’esempio riportato, il fedele non potrà visionare l’atto di Battesimo contenuto nello specifico registro).

Quanto alle misure di sicurezza:

  • i registri devono essere ben custoditi, per evitarne sia il deterioramento sia la consultazione da parte di persone non autorizzate;
  • l’accesso ai registri deve essere consentito al minor numero possibile di persone;
  • si deve procedere alla distruzione sicura dei documenti contenenti dati non più utili;
  • i certificati dei sacramenti devono essere compilati in ambienti e con modalità che garantiscano la riservatezza dei registri;
  • i certificati dei sacramenti possono essere rilasciati solamente agli interessati, ai loro genitori o tutori se minorenni, ovvero a chiunque da essi espressamente delegato.

Ulteriori adempimenti per una piena compliance

Rappresentano ulteriori, fondamentali, adempimenti ai fini di una piena conformità alla normativa privacy applicabile:

  1. il registro delle attività di trattamento, tenuto da ogni titolare in forma scritta, anche in formato elettronico, e contenente tutte le informazioni richieste dall’art. 19 del Decreto (che non differiscono da quelle richieste ex art. 30 del GDPR).
  2. la valutazione d’impatto sulla protezione dei dati personali, nei casi previsti dall’art. 16 del Decreto.
  3. gli adempimenti relativi alla videosorveglianza, ove prevista.
  4. gli adempimenti relativi ai siti web delle singole organizzazioni (Parrocchie, Diocesi ecc.), ove esistenti.
  5. la predisposizione ed implementazione di specifiche procedure. È fondamentale, ad esempio, individuare ruoli, responsabilità e fornire indicazioni operative per la gestione di richieste di esercizio dei diritti da parte degli interessati e per la gestione di violazioni di dati personali (data breach).

Resta fermo, anche con riguardo agli enti ecclesiastici, che un’efficace compliance presuppone specifici interventi, personalizzati sulla base delle peculiarità della singola organizzazione, dell’analisi del rischio specifico dei trattamenti eseguiti (risk based approach) e dell’approfondita conoscenza del contesto di riferimento.

Non a caso il Decreto, in linea con il Regolamento europeo, impone al titolare del trattamento di mettere in atto le misure tecniche ed organizzative più adeguate “tenuto conto della natura, dell’ambito di applicazione, del contesto, dei costi di attuazione e delle finalità del trattamento”.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Emerge, dunque, l’importanza di una consulenza qualificata a supporto del processo di adeguamento e, in questa direzione, l’art. 25 del Decreto prevede che “La Conferenza Episcopale Italiana assicura un servizio di consulenza per l’attuazione delle disposizioni (del Decreto), avente il compito di esaminare le questioni che possono sorgere nell’applicazione delle stesse nonché di proporre eventuali adattamenti ed aggiornamenti della normativa”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5