“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

  • all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
  • “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
  • al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
  • il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
  • l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
  • è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

  • identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
  • identificare, per i soggetti interni, l’unità funzionale di appartenenza;
  • procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
  • adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
  • fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
  • assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

  • L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
    Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
    Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
    È un Responsabile interno perché trattasi di un organismo dell’ente.
  • Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
  • Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
  • il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

  • il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
  • l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
  • il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
  • e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Annunci

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

I Partiti, i Sindacati ed il GDPR

I partiti e i sindacati sono chiamati ad adeguarsi al Regolamento UE 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla loro circolazione?

Assolutamente si!
A maggior ragione considerando che per definizione questi soggetti trattano non solo i “comuni” dati personali, ma altrettante e fondamentali categorie di dati particolari ovvero sensibili, cioè quelli che “rivelano (…), le opinioni politiche, (…), o l’appartenenza sindacale (…)”.  

A cosa sono tenuti?

Naturalmente a tutte le incombenze previste per la generalità delle Organizzazioni. Quindi, le consuete Informative e Richieste di consenso, l’identificazione e nomina delle figure della privacy, la tenuta del Registro dei trattamenti e, non ultimo, la nomina del Responsabile della protezione dei dati (RPD/DPO).

A cosa vanno incontro, in ipotesi di mancata osservanza ai requisiti di legge?

Al rischio sanzioni amministrative fino a € 10 mln o 20 mln in base alla tipologia di requisiti disattesi ed ai successivi comportamenti nonché alle sanzioni penali introdotte dai singoli stati membri.

Quali sono i rischi per la protezione dei dati personali in ambito partitico o sindacale?

Sono quelli che emergono da una puntuale e constestualizzata valutazione dei rischi con riferimento ai dati personali dell’iscritto durante il rapporto con il partito/sindacato.

Vi è anche l’obbligo di predisposizione della Valutazione d’impatto?

Assolutamente si! Per gli stessi motivi per cui sono tenuti alla designazione del RPD.  

C’è qualche scappatoia per evitare di esserne assoggettati?

NO! E se il nostro legislatore intervenisse in questi termini l’Italia sarebbe per questo soggetta a sanzioni da parte della Unione europea.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

Le Associazioni, il GDPR ed il RPD: quali relazioni?

Le Associazioni professionali e di categoria, con o senza scopo di lucro, riconosciute e non, sono soggette all’osservanza del Reg. UE 2016/679, noto anche con l’acronimo GDPR (General Data Protection Regulation),  in materia di protezione delle persone fisiche con riferimento al trattamento dei dati personali ed alla libera circolazione di questi.
Lo si evince, facilmente, dal presupposto dell’ambiente materiale e territoriale di cui, rispettivamente, agli artt. 2 e 3 del Regolamento.

C’è da chiedersi se le associazioni siano anche tenute alla nomina del Responsabile della protezione dei dati (RPD), normato agli artt. 37 a 39 della normativa de quo.
A parere del sottoscritto, la risposta è: << assolutamente si!>> Ecco perché.

Dalla lettura del § 4 art. 4, per “profilazione” s’intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. Quindi:

  • la diversa categorizzazione di soci in soci onorari, sostenitori, ordinari, Senior, Junior, ecc.;
  • il monitoraggio sull’entrata di nuovi soci;
  • il pagamento della quota da parte dei soci;
  • il rinnovo dell’iscrizione da parte dei vecchi soci;
  • l’identificazione dei soci con o senza diritti di voto;
  • l’identificazione dei soci a livello regionale e nazionale;
  • l’attribuzione, ai soci, di particolari ruoli e/o compiti in ambito associativo regionale o nazionale;

… siamo sicuri che parte o tutto questo non sia riconducibile ad un’attività di profilazione?
Nemmeno con riferimento ad aspetti riguardanti le preferenze personali, gli interessi, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica?

Ebbene, alla luce del disposto ex art. 37/679/2016, c. 1 lettera b) per cui

il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

sembra proprio non vi siano dubbi!

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
Data Protection Auditor KHC Certified n. DPO2121

GDPR: non solo “Legge” e “Informatica”

Il GDPR è ormai sulla bocca di tutti e tutti, chi più chi meno, siamo consapevoli delle azioni da intraprendere al fine del più appropriato adeguamento al Reg. 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla libera circolazione di questi.

Confrontandomi con colleghi e aziende, tuttavia, rilevo che del GDPR è stato compreso l’approccio giuridico, e non poteva essere altrimenti trattandosi di una norma di legge, e quello informatico per i concetti richiamati nella norma che riconducono, agevolmente, ad una terminologia di tipo cyber security quasi a formare una linea retta con due punti che segnano l’inizio e la fine del processo di adeguamento al GDPR.

Resto un po’ spaesato quando faccio notare tutto quello che c’è in mezzo.
Ma cosa c’è in mezzo?

In mezzo c’è il processo che oltre a presupporre la più appropriata interpretazione della norma (approccio giuridico) e l’adozione delle misure tecniche (approccio di  information security) prevede e suggerisce la definizione di misure organizzative quali:

  • la progettazione dell’Organigramma per la Data Protection con identificazione e nomina di tutti gli attori interessati;
  • la predisposizione di politiche, accordi, regolamentazioni, procedure, istruzioni; 
  • l’adozione di misure preventive e cautelative riconducibili al concetto di Data protection by design e by default;
  • l’ informativa e il consenso, il registro delle attività di trattamento,
    la formazione;
  • la valutazione dei rischi di illiceità/inadeguatezza nel trattamento dei dati degli interessati;
  • la DPIA, in presenza di presupposti;
  • l’adesione a codici di condotta;
  • l’implementazione di meccanismi di certificazione;
  • la certificazione di un sistema aziendale di gestione della protezione dei dati;
  • le attività di Audit di prima, seconda e terza parte;
  • ecc.

Da qui si evince perché, per l’adeguamento al Regolamento in discorso, non si può ricondurre tutto ad expertises giuridiche e informatiche, il che è di per sé un’ottima base di partenza.
Queste devono essere opportunamente accompagnate dalle abilità:

  • del Formatore,
  • del Risk manager, 
  • del Sistemista, ovvero del consulente avvezzo nei Sistemi di Gestione Aziendale ed in particolare in quello di Data Protection,
  • dell’Auditor … 

… ed allo stesso tempo ci si rende conto anche della necessità di una nuova cultura aziendale e di fare riferimento a persone, dentro e fuori l’azienda, autorevoli e competenti, carismatiche e con capacità di relazione a tutti i livelli e funzioni avvalendosi, all’occorrenza, di mentori che, forti della propria esperienza, possano intervenire e guidare l’Organizzazione nel raggiungimento dell’obiettivo.

                                Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
 Data Protection Auditor KHC Certified n. DPO2121

 

La Chiesa cattolica ed il diritto alla Riservatezza dei dati

In Italia é entrata in vigore, nel dicembre 1996, la Legge 675: “Tutela delle persone e di altri soggetti rispetto alla tutela dei dati personali” a cui ha fatto seguito il D. Lgs. 30 giugno 2003 n. 196: “Codice in materia di protezione dei dati personali” che dovrà dare il giusto spazio, dal 25 maggio 2018, al Reg. Ue 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Come si pone la Chiesa cattolica con riferimento alla legislazione de quo?
Ci sono correlazioni fra gli adempimenti in materia da parte degli enti ecclesiastici ed il suddetto regolamento?

La risposta ci viene fornita dal dettato dell’art. 9/679/2016 che al paragrafo 1 dispone: <<E’ vietato trattare dati personali che rilevino (…) le convinzioni religiose (…), nonché trattare dati (…) della persona>> ed al comma 2, lett. d) recita: <<il paragrafo 1 non si applica se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità (…) religiose (…), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con (…) l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato>>.

Ne consegue che l’ambiente ecclesiastico deve tenere in debito conto questa normativa tanto più che il trattamento dei dati sensibili è del tutto evidente essendo idonei “a rivelare le convinzioni religiose ovvero l’adesione a associazioni o organizzazioni a carattere religioso”.

Inoltre, l’art. 91 (Norme di protezione dei dati vigenti presso chiese e associazioni religiose) del medesimo regolamento prevede, al §1, che <<Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore (25/05/2016) del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento>> …

…e questo corpus è del tutto ravvisabile  nel “Decreto generale” (ed eventuali successive modifiche ed integrazioni), promulgato in data 20 ottobre 1999 dall’allora Presidente della Conferenza Episcopale Italiana Card. Camillo Ruini, che contiene “disposizioni  per la tutela del diritto alla buona fama e alla riservatezza dei dati relative alle persone dei fedeli, degli enti ecclesiastici e delle aggregazioni laicali”; diritto riconosciuto dal can. 220 del codice di diritto canonico.

Non solo. La normativa introdotta nell’ordinamento dello stato italiano (L. 675/96  e D. Lgs. 196/03) e l’osservanza alle sue disposizioni sono facilmente rinvenibili sia nel Decreto stesso sia in istruzioni comportamentali suggerite dall’Avvocato Generale Don Lorenzo Simonelli con riferimento alla “legittimità/opportunità o meno di pubblicare sui siti o social network parrocchiali le fotografie o i video dei ragazzi (anche minorenni) relativi alle attività oratoriane“.

Quindi, verificata la regolare vigenza ed osservanza del corpus di norme a tutela delle persone fisiche con riguardo al trattamento, E’ l’adeguamento al Regolamento Ue a sollecitare l’attenzione di chi di dovere e considerare, per esempio:

  1. la designazione del Responsabile della protezione dei dati,
  2. la regolare predisposizione dell’informativa e la richiesta del consenso scritto
  3. e così via.

Concludendo, è del tutto evincibile come la Chiesa cattolica, latu sensu,  debba opportunamente provvedere ed intraprendere le necessarie azioni ricorrendo al combinato disposto di cui al:

  1. Codice di diritto canonico,
  2. Decreto generale della CEI,
  3. Reg. Ue 679/2016 relativo alla protezione delle persone fisiche con riferimento ai dati personali, nonché alla libera circolazione di tali dati.

 

                          Marcello Colaianni
Privacy Consultant e DP Auditor KHC Certified
DPO UNI11697 KHC Certified