UNA LETTURA DEL REG. UE 679/2016: LA COMUNITA’ ECCLESIALE ALLA PROVA DELLA NUOVA NORMATIVA EUROPEA SULLA PRIVACY.
a cura di Martina Lumini
16 Aprile 2018
“.. Non vi è attività pubblica o privata che non si fondi su tecnologie ‘alimentate’ da dati personali ..”1
“.. tutti siamo stati usati, si tratta di vedere con quali finalità e in quali occasioni ..”.2
Questi brevi estratti ci consentono di comprendere il grado di esposizione – spesso inconsapevole – a cui i dati personali3, quotidianamente, sono esposti e la costante violazione a cui la nostra riservatezza è sottoposta.
Dall’orientamento religioso e politico, passando ai dati sulla salute fino ad arrivare alle informazioni a carattere economico/patrimoniale sono tutti dati che almeno una volta nella vita abbiamo divulgato a soggetti terzi per le ragioni più disparate.
La gran parte delle attività e dei servizi di cui, ogni giorno, ci avvaliamo comportano la raccolta di dati personali di vario genere, dati dei quali, poi, non ci preoccupiamo di sapere che fine faranno, da chi verranno utilizzati, per quali scopi e come verranno conservati: una risposta a questi mancati interrogativi – forse – ci è stata fornita dagli scandali che si sono avvicendati in questi ultimi mesi, dal caso della Cambridge Analytica fino ad arrivare a quello che ha coinvolto il colosso Google.
Gli eventi sopra richiamati , che rappresentano la punta dell’iceberg di un fenomeno sommerso che – ahimè – risulta ben esteso e radicato nella nostra società, hanno acceso i riflettori su un business digitale che ha ad oggetto i dati personali di miliardi di utenti e che dovrebbe portare quest’ultimi ad interrogarsi su: come e da chi vengono usati e conservati i dati personali forniti dagli interessati?
E sotto un profilo più pratico: la ricezione di offerte da parte di operatori sconosciuti che, tuttavia, risultano in perfetta linea con i gusti, lo stato di salute, l’orientamento politico o religioso dell’utente rappresentano una causalità oppure sono frutto di un uso improprio dei nostri dati personali?
Qualcuno, un po’ di tempo fa, affermava “Abbiate fiducia nel progresso che ha sempre ragione anche quando ha torto”4: ebbene, l’utilizzo improprio dei dati personali si presenta – senza ombra di dubbio – come una notevole e dilagante “defaillance” nel progresso evolutivo che vede come protagonista la nostra società, occupata giorno dopo giorno a migliorare le nostre vite sotto ogni punto di vista.
È questa l’ottica in cui deve esser letto ed interpretato il nuovo Regolamento europeo sulla Privacy5 (Reg. UE n. 679/2016) direttamente applicabile in tutti i Paesi europei a partire dal 25 maggio 20186 e diretto a fornire una risposta a quella che può essere definita la sfida più difficile e complessa posta dalla società moderna: la tutela della sicurezza dei dati personali.
In molti speravano in una ingiustificata7 proroga nell’attuazione del Regolamento europeo o almeno così ha fatto intendere la folle corsa all’adeguamento a cui abbiamo assistito nelle settimana che hanno preceduto la data di attuazione del medesimo.
Il timore e la paura generalizzata che ruotano intorno al nuovo Regolamento UE trovano la loro giustificazione – probabilmente – da un lato, nell’introduzione di una nuova normativa caratterizzata da un diverso modus operandi, incentrato sulla “accountability ”8 del titolare9 e del responsabile10 del trattamento dei dati, e, dall’altro, nel ritardo mostrato dal nostro Governo nell’adozione di norme di dettaglio che avrebbero dovuto fornire agli interessati un quadro normativo più chiaro11.
La comunità ecclesiale si trova inevitabilmente coinvolto nell’attività di adeguamento alla nuova disciplina europea sui dati personali, giacché gli enti e le istituzioni ecclesiali sono i possessori di una notevole quantità di dati sensibili idonei a rivelare le convinzioni religiose ovvero l’adesione ad associazioni od organizzazioni a carattere religioso dei soggetti aderenti alla Chiesa o che hanno con questa contatti.
In via preliminare, occorre soffermarci sul contenuto dispositivo dell’art. 91 del Reg. UE 679/2016, il quale riconosce alle chiese, associazioni o comunità religiose che, al momento dell’entrata in vigore del regolamento, applichino corpus completi di norme a tutela del trattamento dei dati personali delle persone fisiche, di poter continuare ad applicare detti corpus purché siano resi conformi al nuovo regolamento.
In tema di privacy, infatti, la Chiesa cattolica ha provveduto a dotarsi, a partire dal 1999, di un corpus normativo ad hoc costituito dal “Decreto Generale”12, sul quale è recentemente intervenuta l’opera di adeguamento al Reg. UE 679/2016 da parte della 71° Assemblea Generale della CEI.
Quel che qui ci interessa è cercare di – o meglio provare a – chiarire i punti di novità introdotti nel Decreto Generale del 1999 a seguito del tempestivo adeguamento posto in essere dalla CEI.
Occorre soffermarsi, in primis, sulla nozione di “trattamento” al fine di comprendere le tipologie di attività che ricadono nell’ambito di applicazione del Decreto Generale e, più in generale, nel Reg. UE 679/16.
La definizione ci viene fornita dall’art. 2, comma 1, n. 2 del Decreto13, il quale definisce il “trattamento” come quell’insieme di attività che abitualmente le diocesi pongono in essere nell’esercizio delle loro funzioni o meglio in qualsiasi operazione, compiuta con o senza l’ausilio di processi automatizzati, afferente a dati personali come la raccolta, la registrazione, la conservazione, l’uso, la comunicazione mediante la trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, la cancellazione, la limitazione o la distruzione;
Andando nel merito delle disposizioni del Decreto, che si compone di 26 articoli, esso introduce una serie di nuovi adempimenti a cui gli enti ecclesiali dovranno conformarsi, in particolare:
A. Nomina di un “Titolare del Trattamento” : tale figura potrebbe essere individuata nel soggetto apicale dell’ente – vescovo o parroco – ma non si esclude che possa essere un altro soggetto14 (Art. 2 Decreto; artt. 4 Reg. UE). Su di egli grava la corretta e puntuale ottemperanza degli obblighi previsti dalla normativa europea e recepiti dal decreto Generale, tra cui:
- L’adozione di misure tecniche ed organizzative adeguate per garantire, sin dalla fase della progettazione – attraverso valutazioni d’impatto – la tutela dei diritti dell’interessato e per assicurare che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente (artt. 8-14 16 e 19 Decreto; artt. 12, 24, 25, 30, 32, 35 Reg.UE);
- Comunicazioni all’interessato in caso di violazioni (art. art.13 Decreto; art. 34 Reg. UE);
- Notifiche all’Autorità ecclesiale competente e, se del caso, all’Autorità civile, in caso di violazione degli archivi, siano essi cartacei o informatici (art.13, §6 ultima parte, Decreto; art. 33 Reg. UE);
- Fornire informazioni all’interessato secondo le modalità previste dall’art. 6 del Decreto;
- Eventuale15 designazione del responsabile del trattamento, a cui delegare la trattazione dei dati personali (art. 15 Decreto; art. 28 Reg. UE);
- nomina del responsabile della protezione dei dati (DOP) 16(art. 18 Decreto; art. 37 Reg. UE);
B. Eventuale nomina di un “Responsabile del trattamento”: il titolare nominerà in questa posizione un soggetto che dovrà presentare idonee garanzie, personali e professionali, per consentire una sufficiente attuazione delle misure tecniche ed organizzative conformi al decreto (Artt. 2 e 15 Decreto; art. 28 Reg. UE). La designazione di questa figura passa attraverso la stipula di un contratto ai sensi dell’art. 12, §2 del Decreto17 od altro atto giuridico, il quale dovrà indicati le funzioni che il responsabile sarà chiamato a svolgere, così come stabilito dall’art. 15, §3. La nomina di un responsabile del trattamento comporta la sua preventiva formazione ad opera del titolare. Preme, infine, precisare che la nomina di questa figura non esonera il titolare dalla responsabilità per eventuali violazioni;
C. Nomina di un “Responsabile della protezione dei dati” (DOP): secondo quanto disposto dall’art. 18, §1, prima parte, la designazione di questa figura è rimessa alla volontà del titolare e del responsabile del trattamento; mentre, la seconda parte del paragrafo afferma la sua obbligatorietà nel caso in cui il trattamento dei dati si svolga su larga scala. Che cosa si debba intendere per “larga scala” non è precisato nel Decreto, tuttavia, si ritiene che il “considerando 91” del Reg. Ue fornisca una valida serie di indicatori da prendere in considerazione18 (Art. 18 Decreto; artt. 37, 38 e 39 Reg. UE). Il Responsabile della protezione dei dati può essere alle dipendenze del titolare del trattamento, del responsabile del trattamento oppure essere un professionista esterno e autonomo che assume l’incarico in base ad un contratto. Il DPO deve essere, in ogni caso, un soggetto dotato di specifiche conoscenze della normativa e della prassi in materia di protezione dei dati.
L’art. 18 del Decreto indica nel dettaglio quali sono i compiti del DPO tra cui:
- informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal regolamento e dalle altre disposizioni in materia;
- sorvegliare l’osservanza del Decreto da parte del titolare e del responsabile del Trattamento;
D. Acquisizione del consenso informato da parte del soggetto interessato: per quanto attiene questo aspetto gli enti dovranno domandarsi se i consensi acquisiti prima dell’entrata in vigore del Regolamento siano conformi o meno al suo dettato perché se da una parte esso tende a snellire il procedimento di acquisizione del consenso – non è più necessario che esso sia dato per iscritto19 – dall’altra è necessario che il medesimo sia preceduto da una dettagliata informativa che presenti i caratteri richiesti dall’art 6 del Decreto. L’interessato ha sempre il diritto di revocare il proprio consenso salvo quanto previsto dall’art. 8, comma 8 del Decreto.
E. Obbligo di tenuta del “Registro delle attività di trattamento” da parte:
- del titolare, il quale deve contenere tutte le informazioni previste dall’art. 19, §1 del Decreto;
- del responsabile del trattamento secondo quanto disposto dal medesimo articolo, al §2.
Detti registri possono presentare forma scritta o elettronica (Art. 19 Decreto; art. 30 Reg.).
F. Particolari e dettagliate disposizioni sono, inoltre, previste al fine di garantire l’inviolabilità degli archivi in cui sono custoditi i dati personali. In particolare, gli artt. 13 e 14 del Decreto prevedono una dettagliata disciplina che trova la propria base nell’obbligo di vigilanza posto in capo al titolare del trattamento, il quale è tenuto “all’osservanza delle norme canoniche riguardanti la diligente custodia, l’uso legittimo e la corretta gestione dei dati”.
G. Il capo VII, infine, è dedicato all’apparato sanzionatorio applicabile in caso di violazioni delle disposizioni contenute nel Decreto Generale (Artt. 13 e 14 del Decreto; art. 82, 83 e 84 del Reg. UE).
Il Reg. UE n. 679/2016, alla luce di quanto appena esposto, deve essere interpretato ed apprezzato per il suo intento – ambizioso – di rimettere al centro la persona e il suo diritto alla riservatezza, troppo spesso violato ed utilizzato non per scopi nobili, attraverso una normativa che – una volta superate le iniziali problematiche applicative – speriamo ci rendano più sicuri e chiari l’utilizzo e la conservazione dei dati personali.
1. Enunciato estratto dal discorso tenuto dal presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, in occasione della Relazione sull’attività svolta nel 2016.
2. Frase estratta da un intervista rilasciata dal Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro a “L’Unione Sarda” in data 06 giugno 2018.
3. Il termine “dati personali” consta di quattro sottocategorie: A. dati sensibili, idonei a rivelare l’origine razziale o etnica, la convinzione religiosa, politica, sindacale nonché i dati relativi allo stato di salute ed alla vita sessuale; B. dati semisensibili, categoria non ben definita nella quale vi rientrano, a titolo puramente esemplificativo, i dati finanziari e patrimoniali e i dati contenuti nelle banche dati della centrale dei rischi etc; C. dati comuni, ossia nome, cognome, partita iva, codice fiscale, residenza, domicilio etc; D. dati giudiziali, idonei a rivelare informazioni attinenti al casellario giudiziario, all’anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti etc.
4. Citazione di Filippo Tommaso Marinetti (1876-1944) poeta, scrittore e drammaturgo italiano.
5. I Regolamenti europei sono fonti del diritto derivato Ue: essi sono atti vincolanti emanati dalle istituzioni europee che si caratterizzano per tre elementi: A. hanno portata generale, nel senso che sono indirizzati a tutti gli Stati membri dell’UE e alle relative persone fisiche e giuridiche; B. sono obbligatori in tutti i loro elementi; C. sono direttamente applicabili ossia sono atti che, in linea di principio, per la loro applicazione nell’ordinamento dello Stato membro non necessitano di alcuna normativa di recepimento da parte di quest’ultimi, entrando a far parte delle fonti interne dello Stato membro decorso un periodo di vacatio legis di 20 giorni dalla pubblicazione sulla Gazzetta Ufficiale Europea o dal diverso momento indicato negli stessi.
6. Il Regolamento n. 679/16 è stato pubblicato nella Gazzetta Ufficiale europea il 04.05.2016 ed è entrato in vigore il 20.05.2016, tuttavia, la sua attuazione, così come disposto dal Regolamento stesso, è stata differita al 25.05.2018.
7. Ingiustificata perché, a livello di diritto europeo, il Regolamento non ha bisogno di normative di recepimento da parte degli Stati membri, come accade, invece, per le direttive, pertanto esso trova diretta applicazione negli ordinamento degli Stati a prescindere dal fatto che quest’ultimi abbiano provveduto ad armonizzare le corrispondenti normative nazionali.
8. Il principio di responsabilizzazione o, nell’accezione inglese di “accountability” era già presente, in forma più blanda, nella precedente normativa laddove, però, si imponevano delle misure di sicurezza predefinite dal legislatore a cui gli operatori dovevano attenersi. Questo meccanismo, tuttavia, si è dimostrato inadeguato a garantire una sostanziale e adeguata tutela della riservatezza degli interessati in relazione ai dati forniti. Solo con il recente Reg. UE 679/2016 è stato esplicitamente introdotto questo principio a livello normativo. L’obiettivo è quello di far in modo che il titolare o il responsabile – su la cui nozione ci soffermeremo a breve – attuino una sorta di personalizzazione nel trattamento dei dati o meglio che si occupino di determinare e di predisporre le finalità ed i mezzi ritenuti più adeguati per garantire una protezione effettiva dei dati personali oggetto del trattamento. Si tratta di un’analisi che dovrà essere svolta per così dire “a monte” mediante una preventiva individuazione ed analisi dei rischi e la conseguente successiva predisposizione, da parte di detti soggetti, di un piano di trattamento dei dati personali. In sostanza, ogni trattamento dei dati sarà diverso dall’altro poiché – fermo restando i principi generali stabiliti dal Regolamento – starà agli operatori personalizzare ognuno di essi in base al tipo di dati raccolti e al tipo di attività svolta.
9. Secondo l’art. 4, par. 1, n. 7 Reg. UE 679/2016 il titolare del trattamento dei dati è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina lefinalitàe imezzi del trattamento di dati personali” ossia colui che senza ricevere istruzioni da altri stabilisce perché e come devono essere trattati i dati personali.
10. Secondo l’art 4, par. 1 n. 8 Reg. UE 679/2016 il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. La designazione di questa figura, solo eventuale, passa attraverso la stipula di un contratto scritto tra quest’ultimo e il titolare del trattamento, il quale dovrà indicare le modalità e la durata del trattamento da porre in essere secondo quanto stabilito dall’art. 28, comma 3 Reg.UE. Si tratta di una figura che dovrà essere dotata di una competenza qualificata in materia, oltre che di un alto livello di affidabilità da un punto di vista etico e deontologico. Si precisa, tuttavia, che la designazione di un responsabile del trattamento non comporta l’esonero del titolare da eventuali responsabilità anzi quest’ultimo dovrà vigilare e valutare sempre il lavoro posto in essere dal primo.
11. Con l’art. 13 della legge di delegazione europea n. 163/2017 il legislatore italiano ha affidato al Governo la delega per armonizzare/coordinare le disposizioni nazionali sulla privacy – D.lgs. 196/2003 – con quelle del nuovo Regolamento europeo. La delega prevede l’adozione di uno o più decreti legislativi ma, in realtà, il Governo ha scelto la strada di un unico provvedimento attuativo che doveva essere emesso entro il 19.05.2018, data di scadenza della delega. Tuttavia, anche a causa delle vicende politiche che hanno animato l’Italia negli ultimi mesi, la delega è stata prorogata di tre mesi, con scadenza 22 agosto 2018 e, ad oggi, ancora alcuna legge di dettaglio è stata varata.
12. Il Decreto Generale è stato promulgato in data 20 ottobre 1999 dall’allora Presidente della C.E.I., Card. Camillo Ruini, e contiene “disposizioni per la tutela della buona fama e della riservatezza”.
13. Che riprende la nozione di “Trattamento” fornita dal Reg. UE 769/16 all’art. 4, comma 1, n.2.
14. Questa possibilità è stata avvalorata anche dall’Osservatorio Giuridico-Legislativo della CEI, che la richiama in un suo recente articolo contenente le prime indicazioni operative per le diocesi in tema di trattamento dei dati personali.
15. Si veda il successivo punto B.
16. Acronimo inglese di Data Protection Officer.
17. Art. 12, §2 Decreto: “L’affidamento dell’elaborazione dei dati a un soggetto non appartenente all’ordinamento canonico è assoggettato alle previsioni di cui all’art. 15 e deve essere fatto attraverso un contratto stipulato a norma del can. 1290 CIC e del can. 1034 CCEO, fermo restando anche per l’affidatario il dovere di osservare la normativa del Decreto e in particolare le disposizioni di cui all’art. 15”.
18. Gli elementi in presenza dei quali è possibile ravvisare un “trattamento in larga scala” sono indicati all’interno del “Considerando 91” del Reg. UE, in particolare si fa riferimento: 1. il numero di soggetti interessati dal trattamento; 2. il volume dei dati e/o delle diverse tipologie di dati oggetto di trattamento; 3. La durata, ovvero la persistenza, del trattamento; 4. la portata geografica del trattamento.
19. L’art. 4, n. 11 Reg. UE e l’art. 2, n. 11 Decreto definiscono il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con il quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati che lo riguardano siano oggetto di trattamento”.