L'approfondimento

GDPR ed enti ecclesiastici, ecco come adempiere alla data protection

Tutte le indicazioni pratiche per gli enti ecclesiastici affinché rispettino il principio di accountability previsto dal GDPR e raggiungano la piena conformità nel trattamento dei dati personali

10 Gen 2020
B
Carolina Brunazzetto

Avvocato, Consulente Privacy & Data Protection, DPO


Nel nostro Paese molti enti ecclesiastici che operano nell’ordinamento dello Stato spesso, accanto all’attività confessionale, svolgono assistenza, istruzione, educazione e cultura: si trovano quindi a trattare moltissimi dati talvolta non strettamente connessi all’attività di culto: per questo motivo è opportuno chiarire alcuni aspetti in ambito GDPR ed enti ecclesiastici.

Scopo del presente elaborato è l’esame della disciplina applicabile al trattamento dei dati svolto dagli enti ecclesiastici civilmente riconosciuti con speciale riferimento all’applicazione del principio dell’accountability.

GDPR ed enti ecclesiastici: la normativa

Il regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.4.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR) nel considerando 165, conferma che il Regolamento “rispetta e non pregiudica lo status di cui godono le chiese e le associazioni o comunità religiose negli Stati membri in virtù del diritto costituzionale vigente”.

In attuazione del citato principio, l’art. 91 del GDPR precisa che “Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento”.

Proprio in adempimento di tale prescrizione la 71ª Assemblea Generale della Conferenza Episcopale Italiana ha approvato l’aggiornamento del “Decreto generale di Disposizioni per la tutela del diritto alla buona fama e alla riservatezza” risalente al 1999 che ha, quindi, adeguato il corpus normativo precedente, al GDPR.

Nella quaestio circa l’applicazione di tale corpus normativo proprio laddove l’ente ecclesiastico svolga trattamento dati nell’ambito dell’attività confessionale, la questione più delicata si pone, invece, nella diversa ipotesi in cui l’ente ecclesiastico svolga il trattamento per finalità diverse da quelle di religione o di culto, vale a dire “quelle di assistenza e beneficenza, istruzione, educazione e cultura e, in ogni caso, le attività commerciali o a scopo di lucro”; in questo caso infatti, come chiarito dall’art. 7 l. 121/1985 “le attività diverse da quelle di religione o di culto, svolte dagli enti ecclesiastici, sono soggette, nel rispetto della struttura e della finalità di tali enti, alle leggi dello Stato concernenti tali attività”.

Per tale motivo ai trattamenti svolti in adempimento di tale seconda ipotesi vi è la piena applicazione del GDPR.

Un primo nodo nell’applicazione della normativa europea sul trattamento dei dati all’ente ecclesiastico che svolga il trattamento per finalità diverse da quelle di religione o di culto deriva dal fatto che tale ente (civilmente riconosciuto) essendo un’organizzazione geneticamente e teleologicamente collegata ad una organizzazione religiosa, spesso propone una struttura speciale tale da condizionarne anche la normale attività negoziale e patrimoniale.

Lo stesso funzionamento di dette strutture è fortemente influenzato dal diritto confessionale dal quale non possono prescindere (sia sotto il profilo “costitutivo” che “operativo”), per cui diventa fondamentale trovare il giusto punto di contatto tra la normativa statale e quella confessionale.

Ciò si evidenzia perché, nella realtà dei fatti, un unico ente ecclesiastico civilmente riconosciuto può declinare la propria “missione confessionale” attraverso numerosissime attività a volte anche tra loro molto diverse: la finalità istituzionale potrebbe così dipanarsi attraverso attività caritatevoli e, nello stesso tempo con l’editoria religiosa o, nondimeno, con attività scolastiche o socialmente utili (occupandosi di assistenza a persone con disabilità o minori).

Non è raro quindi, che un unico ente ecclesiastico (civilmente riconosciuto) operi in ambiti totalmente diverse avvalendosi di diverse strutture (anche logisticamente e organizzativamente separate) e di diverso personale, anche laico, per raggiungere tali finalità. Dal punto di vista organizzativo l’ordinamento della Chiesa si sviluppa sulla base del sacramento dell’ordine riservando agli ordinati in sacris gli uffici con potestà di governo.

Dal punto di vista della normativa statuale, quando gli enti ecclesiastici si iscrivono nel registro delle persone giuridiche devono indicare le norme di funzionamento e i poteri degli organi di rappresentanza dell’ente.

Da quanto esposto emerge, quindi, che l’ente ecclesiastico affianca alla struttura progettata dal proprio ordinamento confessionale quella prevista dall’ordinamento italiano, per cui individua tra i propri membri il legale rappresentante e, talora, altri religiosi per attendere alle diverse aree (scuola, ospedale, editoria…).

Tali soggetti “delegati” ai diversi settori (all’attività scolastica ovvero a quella caritatevole o, ancora, all’attività editoriale) ricevono in genere una procura speciale affinché in nome e per conto e rappresentanza dell’istituto religioso esercitino i poteri di gestione ordinaria.

Si tratta, come si può notare, di una mera procura (e non di un mandato), vale a dire di un atto negoziale unilaterale attraverso cui un soggetto conferisce ad un altro esclusivamente il potere di rappresentarlo.

Sotto il profilo dell’applicazione del GDPR diventa, dunque, molto importante individuare i ruoli attribuibili a tali soggetti per poterli correttamente indicare nell’organigramma privacy e per poter determinare, a cascata, competenze e responsabilità.

Il titolare del trattamento nell’ente ecclesiastico

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il GDPR (mutuando la definizione della direttiva 95/46/CE) stabilisce all’articolo 4 n.7) che il “titolare del trattamento” è la “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Il Considerando (74) evidenzia che “è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”.

L’ente ecclesiastico può essere considerato unico titolare del trattamento anche qualora ponga in essere, come prima evidenziato, attività di trattamento molto diverse tra loro e autonome? La questione appare ancora più complessa posto che molto spesso le diverse aree dello stesso ente svolgono trattamenti del tutto autonomi, collegati esclusivamente dal fatto che le attività sono manifestazione della stessa “missione” inscritta nell’ente ecclesiastico.

Il Parere 1/2010 sui concetti di “responsabile del trattamento” (id est titolare del trattamento) e di “incaricato del trattamento” (id est responsabile del trattamento) del gruppo di lavoro Articolo 29 per la  protezione dei dati, ribadisce e sottolinea che l’individuazione del titolare del trattamento svolge “un ruolo fondamentale nell’applicazione della direttiva 95/46/CE, poiché determina chi risponde dell’osservanza delle norme relative alla protezione dei dati” e comporta “l’efficace esercizio dei compiti di controllo conferiti”.

Tale utilissimo parere evidenzia che il concetto di titolare del trattamento “serve a determinare in primissimo luogo chi risponde dell’osservanza delle norme relative alla protezione dei dati, e il modo in cui gli interessati possono esercitare in pratica i loro diritti – serve, in altre parole, ad attribuire responsabilità”.

Il Gruppo Articolo 29 fa riferimento ad un primo criterio fattuale piuttosto che formale e, in ordine a fattispecie giuridiche similmente complesse, evidenzia che “nell’ottica strategica dell’attribuzione delle responsabilità, e per dare agli interessati un’entità di riferimento più stabile e più affidabile per l’esercizio del loro diritti ai sensi della direttiva, sarebbe preferibile considerare come titolare del trattamento la società o l’organismo in quanto tali piuttosto che una specifica persona al loro interno”.

Il parere precisa che “talvolta, le società e gli organismi pubblici designano una persona specifica come responsabile dell’attuazione dei trattamenti. Tuttavia, anche nel caso in cui una specifica persona fisica sia nominata per garantire il rispetto dei principi di protezione dei dati o per trattare dati personali, tale persona non sarà il responsabile del trattamento (id est titolare del trattamento) ma agirà per conto della persona giuridica (società od organismo pubblico) che risponderà, in qualità di responsabile del trattamento (id est titolare del trattamento), in caso di violazione”.

Alla luce di quanto esposto appare condivisibile ritenere unico titolare del trattamento l’ente ecclesiastico civilmente riconosciuto, nonostante le diverse procure che in esso possono essere attribuite.

Del resto, non si può tacer del fatto che in ipotesi di responsabilità civile o amministrativa legittimato passivo è esclusivamente l’ente ecclesiastico civilmente riconosciuto.

A sostegno di tale evidenza depone altresì la circostanza che le finalità del trattamento (che si tratti di trattamento collegato all’attività di istruzione piuttosto che a quella editoriale) sono comunque determinate a monte, in virtù dello statuto, dall’ente e dall’organo confessionale (per lo più collegiale) con cui l’ente stesso opera.

GDPR ed enti ecclesiastici: l’accountability

La complessa struttura cui abbiamo fatto cenno, impone un’ulteriore riflessione posto che talora diverse aree di servizio ove l’ente declina la propria missione, seppur sotto il medesimo “ombrello” giuridico, spesso non dialogano tra loro e non mettono in comunione trattamenti di dati che restano invece svolti nell’area di pertinenza.

Altre volte, invece, vi è una sorta di promiscuità tra attività decisamente diverse tra loro (per finalità e modalità) che però sono ricollegabili giuridicamente al medesimo titolare del trattamento.

Ebbene, in tali fattispecie, come l’ente ecclesiastico deve applicare il GDPR? Da quali principi deve essere guidato? Come è ormai noto, il GDPR ha fatto proprio il principio di responsabilizzazione in base al quale il titolare del trattamento non solo deve rispettare i principi stabiliti nella normativa, ma deve essere anche capace di dimostrare di averli osservati ed opportunamente scelti.

Se “la confessione è libera di prevedere processi che attivino gradi di protezione maggiori o più specifici rispetto a quelli indicati dal Garante”[1] (e, tra questi, possiamo indicare il principio del perseguimento degli scopi determinati e legittimi, la pertinenza, la non eccedenza e la stretta indispensabilità dei dati trattati) dall’altro una misura organizzativa minima appare senza dubbio l’attuazione “di meccanismi interni reali ed efficaci per salvaguardare la tutela delle informazioni personali” [2].

L’art. 24 del GDPR, infatti, prescrive che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” e ciò “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.

Ecco allora che l’aspetto programmatico ed organizzativo può diventare per l’ente ecclesiastico un utilissimo strumento per declinare al meglio l’accountability. Già nel 2002 l’Autorità aveva precisato che “il titolare del trattamento può designare, per esigenze organizzative, uno o più soggetti responsabili assegnando loro specifici compiti” e l’art. 2-quaterdecies del capo IV D.lgs. 101/2018 consente oggi al titolare di assegnare “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

La predisposizione di un’adeguata organizzazione interna diventa così strumento idoneo a consentire all’ente confessionale una concreta attività di vigilanza, sorveglianza e applicazione delle misure del GDPR così da dare concreta attuazione dei principi del Regolamento.

Operativamente tale misura può essere posta in essere mediante la  designazione, all’interno dell’ente, di uno o più soggetti (in posizione apicale nella gerarchia ecclesiastica, poco al di sotto del titolare del trattamento per consentirgli una piena operatività) cui vengano assegnate, sotto il profilo del trattamento del dato, specifiche aree di interesse (la scuola, l’editoria….) in modo da garantire una piena ed efficace applicazione delle misure di protezione nelle diverse aree in cui si snoda l’ente ecclesiastico.

Si tratta, si badi, non già dell’individuazione di un Responsabile ai sensi e per gli effetti dell’art. 28 GDPR, posto che tale figura è collocata all’esterno dell’ente (e a ciò depone la richiesta di un contratto per la regolamentazione dei rapporti), ma dell’individuazione di un soggetto interno all’ente ecclesiastico “delegato” a curare l’applicazione del Regolamento e a sovraintendere l’applicazione dell’accountability nell’area ad esso assegnato.

GDPR ed enti ecclesiastici: i delegati

Tale scelta è obbligata anche in ragione della struttura organizzativa dell’ente di cui si è già parlato nel paragrafo precedente e per il fatto che i soggetti dell’ente non sono dotati di autonomia giuridica ma di mera potestà ora ordinaria ora delegata.

Proprio al fine di non generare confusione con la figura del responsabile art. 28 GDPR tale “nuova” figura potrebbe essere individuata quale “delegato alla privacy” e operare, mediante il meccanismo della delega di funzioni, all’interno di un’area prestabilita dal titolare del trattamento.

I delegati alla privacy, in virtù della delega ricevuta, cooperano con il titolare (ma sempre sulla base delle finalità preordinate dall’ente ecclesiastico con i propri organi canonici) nella piena attuazione del GDPR nelle strutture a loro delegate fornendo, a cascata, formazione e direttive a tutti i soggetti (dipendenti, collaboratori ecc.) che con essi partecipano alla gestione del dato all’interno dell’area di pertinenza.

In aderenza con quanto previsto dal Gruppo Articolo 29 nel parere 3/2010 il titolare del trattamento, al fine di rendere efficace tale designazione potrebbe concretamente stabilire nell’atto di designazione le specifiche attività delegate a tale soggetto prevendo altresì la possibilità di sub-deleghe per settori specifici.

Si ribadisce che il delegato alla privacy non decide autonomamente nuovi trattamenti essendo tale funzione rimessa esclusivamente all’organo di governo dell’ente confessionale, titolare del trattamento. Il delegato, invece, nell’ottica di rendere efficace l’applicazione del Regolamento potrebbe:

  • formulare le politiche di protezione dei dati vincolanti da prendere in considerazione e applicare nell’area di competenza ove si svolge il trattamento;
  • mappare le procedure dell’area di competenza per garantire la corretta identificazione di tutte le operazioni di trattamento dei dati e gestione di un inventario di dette operazioni;
  • redigere il registro dei trattamenti afferenti all’area di competenza (da far poi confluire nell’unico registro dei trattamenti dell’ente ecclesiastico);
  • nominare gli incaricati del trattamento che operano nell’area di competenza e curare la loro adeguata formazione e istruzione in materia di protezione dei dati;
  • creare, unitamente al titolare e agli altri delegati alla privacy procedure trasparenti per gli interessati finalizzate alla gestione delle richieste di accesso, rettifica e cancellazione;
  • definire unitamente al titolare e agli altri delegati alla privacy procedure interne per la gestione e la comunicazione efficace di violazioni della sicurezza;
  • interessare il titolare del trattamento e cooperare con lui nel caso in cui fosse necessario effettuare nella sua area di interesse una valutazione d’impatto sulla privacy;
  • attuare e controllare delle procedure di verifica per assicurare che tutte le misure esistano non solo sulla carta, ma siano applicate e funzionino nella pratica (audit interni o esterni ecc.).

Per tali motivi proprio perché la protezione dei dati deve passare “dalla teoria alla pratica” e, come ricorda il Parere Articolo 29 3/2010 “gli obblighi giuridici devono essere tradotti in misure concrete di protezione dei dati, tale espediente consente all’ente ecclesiastico da un lato di comprovare sul campo la reale applicazione dei principi del GDPR, dall’altro di applicare all’organizzazione dei programmi di conformità che consentano la piena applicazione in ogni area dell’ente della normativa.

La previsione all’interno dell’ente di un soggetto preposto al trattamento dei dati per una determinata area appare dunque una valida soluzione che volta a riequilibrare il funzionamento “speciale” di questi enti.

NOTE

[1] Così A. Fabbri, I dati personali di natura religiosa, tra scelte individuali e trattamento confessionale collettivo, in Innovazione tecnologia e valore della persona (a cura di) L. Califano e C. Colapietro, Editoriale scientifica, 2018.

[2] Così WP 3/2010 p.4.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA