Trattamento dei dati personali, tutela della privacy ed enti ecclesiastici: prime indicazioni operative per le diocesi

A partire dal 25 maggio 2018 è entrato in applicazione il Regolamento 679/2016 UE in materia di trattamento dei dati personali. Ai sensi dell’art. 91 di tale Regolamento è stato predisposto un aggiornamento del Decreto generale della CEI del 1999 in materia, che ha ottenuto la necessaria recognitio della S. Sede ed è stato promulgato mediante la pubblicazione nel sito web della CEI (https://www.chiesacattolica.it/decretochiesa-italiana-e-privacy/)

Finalità del decreto è in primo luogo quella di garantire in modo adeguato la protezione dei dati personali trattati, in risposta alle crescenti esigenze di tutela determinate dagli sviluppi della “società dell’informazione” e alla rinnovata sensibilità verso tali temi, rispetto ai quali anche la Chiesa non può non mostrare una rinnovata sollecitudine. Inoltre l’adeguamento del testo – volto a renderlo “conforme” al Regolamento così come previsto dall’art. 91 del Regolamento – consente alla Chiesa di continuare ad applicare, per i soggetti e le finalità istituzionali, un proprio corpus completo di norme, nell’esercizio della propria autonomia e indipendenza e a tutela delle esigenze di libertà connesse all’esercizio della sua missione.

Tenuto conto delle esigenze da più parte manifestate, sembra opportuno anticipare in forma sintetica l’indicazione di alcuni principali adempimenti.

–  In primo luogo, occorre considerare che la nozione di “trattamento” dei dati personali accolta nel Regolamento e nell’aggiornamento del Decreto CEI è piuttosto ampia e che essa in sostanza riguarda qualsiasi operazione riferibile

ai dati personali, compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali, come la raccolta, la registrazione, la conservazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, indipendentemente dal fatto che tali operazioni siano compiute in via automatizzata. Quindi, tutte o quasi le attività abitualmente compiute nell’ambito di parrocchie e/o diocesi (registri dei sacramenti, elenchi per il catechismo…) devono considerarsi trattamento dei dati personali (art. 1, § 2 e art. 2, Decreto; art. 2, par. 2 e art. 4 Regolamento).

–  Perché il trattamento sia lecito deve essere presente almeno una delle condizioni elencate dall’art. 4, § 1, del Decreto.

La condizione più frequente è il consenso informato del soggetto interessato, cioè del soggetto dei cui dati si tratta (art. 2; art. 4; art. 5 Decreto; art. 4; art. 6; art. 7 Regolamento). Tale consenso deve essere espresso e inequivocabile e deve essere preceduto da una adeguata informativa (v. allegato) (art. 6 Decreto; art. 13; art. 14 Regolamento). L’interessato può sempre revocare il consenso al trattamento (art. 5, § 3 Decreto; art. 17; art. 21 Regolamento).

Alcuni trattamenti, tuttavia, non trovano la loro base giuridica nel consenso, che pertanto in questi casi non deve essere acquisito (cfr. in tal senso art. 4, § 1, lett. b), c), d), e), f), g) del Decreto). In questo quadro si può ritenere, in particolare, che non deve essere acquisito il consenso in caso di amministrazione di sacramenti o qualora il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.

Dovrebbe essere invece acquisito il consenso in caso di iscrizione a catechismo, di partecipazione a gite, a grest (se si tratta di minore, il consenso di ambedue i genitori).

– È necessario nominare un “titolare del trattamento”, cioè il soggetto che determina le finalità e i mezzi del trattamento (art. 2 Decreto; art. 4 Regolamento). Tale soggetto dovrebbe essere di regola il soggetto apicale dell’ente (Vescovo, parroco,…), ma potrebbe anche essere un soggetto diverso, persona fisica o giuridica (Diocesi, parrocchia). Data la ontologica “mutevolezza” del soggetto apicale dell’ente, potrebbe essere preferibile nominare titolare l’ente stesso (nella persona, senza necessità di dichiararlo espressamente, del suo legale rappresentante pro tempore).

Il titolare del trattamento può nominare, con contratto o altro valido atto giuridico, un “responsabile del trattamento”, colui cioè che tratta dati personali per conto del titolare del trattamento (art. 2; art. 15 Decreto; art. 4; art. 28 Regolamento). Tale nomina, tuttavia, non comporta l’esonero del titolare da eventuali responsabilità.

– Ai sensi dell’art. 8, § 5, del Decreto generale “Chiunque ha diritto di chiedere e ottenere, personalmente o mediante un procuratore legittimamente nominato, certificati, estratti, attestati, ovvero copie fotostatiche o autentiche dei documenti contenenti dati che lo riguardano (20), alle condizioni previste dal regolamento di cui al § 2.

Sono esclusi i dati che, non provenendo dal richiedente, sono coperti da segreto stabilito per legge o per regolamento ovvero non sono separabili da quelli che concernono terzi e la cui riservatezza esige tutela. L’interessato in ogni caso non ha diritto di ispezione dei dati del registro e dei dati sottratti alla sua conoscenza”.

Certificati, estratti, attestati dovrebbero essere quindi richiesti o dal diretto interessato (o dai suoi legali rappresentanti, se minore), o da un suo delegato.

Non sembra si possa dare seguito a richieste provenienti da altri soggetti privi di delega (esempio, nonni che chiedano, a prescindere da una delega dei genitori del minore, certificati riguardanti il minore stesso).

– Sembra si possa ritenere ammissibile la comunicazione di dati Diocesi-Diocesi, Diocesi-parrocchia, parrocchia-Diocesi e parrocchia-parrocchia, in quanto declinazione della libertà di organizzazione del culto, nonché di comunicazione sancita dall’accordo del 194. Anche altri indici normativi inseriti nel Regolamento UE (cfr. Considerando 47 e 48; art. 6, c. 1, lett. f) e c. 4, spec. lett. a), Considerando 51; art. 9, c. 2, lett. d) sembrano avallare tale interpretazione.

– Se il trattamento si svolge su “larga scala” (il Decreto non definisce la nozione di larga scala, che deve essere quindi valutata nel caso concreto. Il Regolamento fornisce un orientamento al considerando 91. A ogni modo, il WP29, organo consultivo dell’UE per la materia della Privacy, raccomanda di tenere conto, in particolare, al fine di stabilire se un trattamento sia effettuato su larga scala, dei seguenti elementi: a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; c. la durata, ovvero la persistenza, dell’attività di trattamento; d. la portata geografica dell’attività di trattamento) o appare di particolare delicatezza (questo criterio, secondo il WP29, include categorie particolari di dati personali così come definite all’articolo 9 del Regolamento, ad esempio informazioni sulle opinioni politiche delle persone) deve essere nominato un “responsabile della protezione dei dati” (art. 18 Decreto; art. 37; art. 38; art. 39 Regolamento). Il responsabile della protezione dei dati può essere alle dipendenze del titolare del trattamento o del responsabile del trattamento o essere un professionista esterno.

Tra i compiti del responsabile per la protezione dei dati (specificamente indicati nel decreto) vi è quello di informare e fornire consulenza al titolare del trattamento e al responsabile del trattamento e ai dipendenti che effettuano il trattamento dei dati personali in merito ai loro obblighi in materia di protezione dei dati, sorvegliare l’osservanza del decreto e delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali.

– Deve essere tenuto un “registro delle attività di trattamento”, anche in formato elettronico, che contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove presenti, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi diversi od organizzazioni internazionali; e) ove possibile, una descrizione generale

delle misure di sicurezza tecniche e organizzative (art. 19 Decreto; art. 30 Regolamento).

–  Una particolare attenzione deve essere prestata per assicurare l’inviolabilità degli archivi, specie qualora si tratti di archivi informatici. L’archivio deve essere dotato di un sistema di chiusura che garantisca una sufficiente sicurezza da tentativi di furto e di scasso. Le chiavi dell’archivio devono essere custodite personalmente e accuratamente dal titolare del trattamento. Spetta al titolare del trattamento autorizzare agli estranei l’accesso ai dati. Il titolare del trattamento deve denunciare quanto prima all’autorità ecclesiastica competente e, se del caso, anche all’autorità civile, ogni incursione nell’archivio che abbia causato sparizione, sottrazione o danneggiamento di registri, atti, documenti pubblici, elenchi e schedari contenenti dati personali. Il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio (art. 2; art. 13; art. 14 Decreto; art. 4; art. 32; art. 33; art. 34 Regolamento).

–  Sono previste sanzioni, di non poco rilievo (art. 23 Decreto; art. 82; art. 83, art. 84 Regolamento).

Tenuto conto dell’evoluzione in corso, gli uffici e Servizi competenti della Segreteria Generale della Conferenza Episcopale Italiana forniranno ulteriori indicazioni e documentazione, restando a disposizione per ogni eventuale esigenza che sarà rappresentata.

Roma, 31 luglio 2018

Indicazioni per la redazione dell’informativa

Il titolare del trattamento deve fornire all’interessato tutte le informazioni di seguito indicate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, elettronici.

In caso di raccolta presso l’interessato, il titolare del trattamento, nel momento in cui i dati personali sono ottenuti, rende noto all’interessato che i dati saranno trattati nel pieno rispetto della normativa canonica e civile e gli fornisce le seguenti informazioni:

  1. a) l’identità e i dati di contatto del titolare del trattamento;
  2. b) i dati di contatto del responsabile della protezione dei dati, ove designato;
  3. c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (indicata nel decreto, per esempio, il trattamento è necessario per adempiere un obbligo, previsto dalle norme canoniche o dalle norme civili, al quale il titolare del trattamento è soggetto);
  4. d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.

Inoltre il titolare del trattamento trasmette le informazioni relative a:

  1. a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  2. b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento;
  3. c) il diritto di proporre reclamo a un’autorità di controllo;
  4. d) se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  5. e) l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Fac simile INFORMATIVA SULLA TUTELA DEI DATI PERSONALI (per Diocesi e Parrocchie)

Il trattamento dei dati personali acquisiti dalla Diocesi/Parrocchia …[inserire nome dell’ente Diocesi/Parrocchia], ente ecclesiastico civilmente riconosciuto, avverrà nel rispetto delle garanzie previste dall’ordinamento canonico (Decreto generale della Conferenza Episcopale Italiana del 25 maggio 2018) e tenuto conto della normativa statuale, precisandosi:

  1. a) il trattamento dei dati è improntato ai principi di correttezza, liceità, lealtà e tutela della riservatezza;
  2. b) i dati personali acquisiti verranno trattati al fine di attuare le finalità istituzionali della Diocesi/Parrocchia stessa, per il tempo a ciò necessario, e potranno essere comunicati, per realizzare tali finalità, ad altri enti della Chiesa cattolica, come le Diocesi ed altre Parrocchie;
  3. c) i dati acquisiti verranno inseriti nei registri, negli archivi, negli elenchi e schedari, cartacei e informatici della Diocesi/Parrocchia;
  4. d) con il consenso del titolare, i dati acquisiti potranno: a) essere pubblicati negli annuari e bollettini predisposti dalla Diocesi/Parrocchia e da enti o organismi alla stessa collegati; b) essere pubblicati sul sito internet della Diocesi/Parrocchia e di enti o organismi alla stessa collegati; c) essere comunicati per finalità ulteriori rispetto a quelle istituzionali, per esempio informative o promozionali, ad altri soggetti ed enti della Chiesa cattolica ovvero alla stessa aderenti; d) essere trattati al fine della preparazione, organizzazione e gestione di eventi, con possibilità della loro comunicazione agli enti che cooperano alla realizzazione degli eventi stessi (enti ecclesiastici, amministrazioni pubbliche, alberghi, società di servizi, ecc.);
  5. e) il conferimento dei dati è obbligatorio per consentire alla Diocesi/Parrocchia di svolgere le proprie attività istituzionali, mentre è facoltativo per altre attività (ad esempio informative e promozionali);
  6. f) titolare del trattamento è la Diocesi/Parrocchia … [inserire nome], con sede in …[inserire indirizzo e “dati di contatto”, ossia i dati che consentono di contattare il titolare del trattamento; dire se è nominato responsabile della protezione dei dati e inserire dati di contatto];
  7. g) l’interessato può esercitare i diritti di accesso, integrazione, correzione, annotazione, opposizione e cancellazione dei propri dati, nonché chiedere la limitazione del trattamento, salvo quanto previsto nell’art. 8, § 8, del Decreto generale del 25 maggio 2018, scrivendo al titolare/responsabile del trattamento dei dati;
  8. h) l’interessato ha diritto a revocare il proprio consenso, salvo quanto previsto nell’art. 8, § 8, del Decreto generale del 25 maggio 2018, e salvo quanto previsto alla lett. e) della presente informativa.
  9. i) l’interessato ha diritto di presentare reclamo all’autorità di controllo.
  10. l) i dati sono trattati, manualmente ed elettronicamente, dal titolare del trattamento, dal responsabile del trattamento, e dai responsabili e incaricati preposti a servizi connessi; sono sottoposti a idonee procedure di sicurezza e, salvo il suo consenso, non sono comunicati né diffusi né trasferiti all’esterno.

Acconsento a che i miei dati siano inseriti nei registri, negli archivi, negli elenchi e schedari della parrocchia

Acconsento a che i miei dati non “riservati” siano inseriti negli annuari, bollettini e notiziari redatti dalla parrocchia e da enti o organismi alla stessa collegati

Acconsento a che i miei dati non “riservati” siano pubblicati sul sito della parrocchia e di enti o organismi alla stessa collegati

Acconsento a che i miei dati non “riservati” siano comunicati ad altre persone ed enti della Chiesa cattolica ovvero alla stessa aderenti

Acconsento a che i miei dati “non riservati” siano trattati per le attività connesse alla realizzazione di eventi

Data __________________ Firma ____________________________________________

L’articolo Trattamento dei dati personali, tutela della privacy ed enti ecclesiastici: prime indicazioni operative per le diocesi sembra essere il primo su Chiesa di Padova.