È importante parlare di privacy e confessioni religiose in quanto il trattamento dati in ambito religioso presenta caratteristiche particolari che si evincono dall’analisi del medesimo diritto alla libertà di culto enunciato nell’art. 19 della Costituzione (Tutti hanno diritto di professare liberamente la propria fede religiosa in qualsiasi forma, individuale o associata, di farne propaganda e di esercitarne in privato o in pubblico il culto, purché non si tratti di riti contrari al buon costume) e dall’articolo 10 della Carta dei diritti fondamentali dell’Unione Europea(Ogni persona ha diritto alla libertà di pensiero, di coscienza e di religione. Tale diritto include la libertà di cambiare religione o convinzione, così come la libertà di manifestare la propria religione o la propria convinzione individualmente o collettivamente, in pubblico o in privato, mediante il culto, l’insegnamento, le pratiche e l’osservanza dei riti).
Infatti, elemento strutturale del diritto degli individui di poter esercitare liberamente il proprio culto religioso è la pubblicità dell’appartenenza al culto medesimo, in quanto, la partecipazione ad un determinato culto è di per sé stesso un dato particolare alla luce dell’art. 9 del GDPR.
Indice degli argomenti
Privacy e confessioni religiose: la normativa vigente
Al fine di analizzare la normativa privacy applicabile alle varie confessioni religiose occorre rammentare che le stesse sono dei veri e propri ordinamenti giuridici con una loro complessità dal punto di vista della costruzione del diritto sostanziale e della costruzione della burocrazia che deve sostenere l’applicazione della normativa privacy all’interno dell’ordinamento stesso.
Proprio per questo motivo all’interno del GDPR è stata inserita una disposizione normativa volta a raccordare il c.d. ordinamento ordinario a quello “religioso”, prevedendo che all’interno di ogni Stato membro le normative speciali riguardanti il trattamento dei dati delle persone fisiche, poste in essere da chiese e associazioni o comunità religiose, possono continuare ad applicarsi previo adeguamento al Regolamento Europeo sulla protezione dei dati.
Pertanto, durante la 71° Assemblea Generale, svoltasi dal 21 al 24 maggio 2018, la Conferenza Episcopale Italiana ha approvato il nuovo Decreto Generale in materia di tutela del diritto alla buona fama e alla riservatezza al fine di aggiornare le precedenti norme e renderle conformi al regolamento UE sulla protezione dei dati.
Detto Decreto, in ragione del principio di specialità ovvero alla luce del principio di autonomia della Chiesa cattolica, enunciato nell’articolo 7 della Costituzione, viene applicato, in via esclusiva, ai trattamenti dei dati personali connessi alle attività istituzionali della Chiesa (art. 1 Decreto Generale) tra le quali, si ricorda, a titolo d’esempio: i registri canonici; l’attività e le procedure proprie dei Tribunali Ecclesiastici; gli annuari e i bollettini; il catechismo e i centri estivi (oratori, GREST, TEE…).
La disposizione normativa citata, che può essere definita come il GDPR della Chiesa Cattolica, pur presentando numerosi punti di contatto con la normativa europea, in alcuni punti se ne discosta sotto il profilo sostanziale.
Privacy e confessioni religiose, tra GDPR e Decreto Generale della CEI
Tre le principali differenze si evidenzia che il Decreto Generale della CEI, al Capo IV, prevede tutta una serie di disposizioni dirette a regolare gli strumenti di raccolta dei dati personali, come i registri dei sacramenti, gli archivi, gli elenchi e gli schedari. In particolare, nell’articolo 8 viene regolamentata, con dovizia di particolari, la tenuta dei registri dei sacramenti, consentendone la duplicazione in formato elettronico ed attribuendone la redazione, gestione e custodia ai soggetti deputati a governare l’ente.
In merito alla base giuridica occorre rammentare che i registri sono regolati dal diritto canonico il quale stabilisce quali dati debbano essere raccolti e conservati e pertanto non necessitano della previa acquisizione del consenso.
Si ricorda, infine, che alla luce dei principi di finalità, sussistenti anche all’interno della normativa canonica in ambito privacy, i dati contenuti nei registri dei sacramenti non possono essere trattati al fine di inviare comunicazioni informative ai fedeli.
Di particolare importanza vi è, altresì, la gestione degli annuari e dei bollettini (art. 11 Decreto Generale) i quali “contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto”. Appare evidente che la disposizione normativa citata, oltre ad effettuare un esplicito riferimento al principio di minimizzazione dei dati individua essa stessa la base giuridica sottesa al trattamento, infatti, la disposizione statuisce l’obbligo di legge nonché il legittimo interesse pastorale.
Un ulteriore differenza è ravvisabile nel capo V ove la normativa canonica, pur richiamando in diverse disposizioni il principio di accountability (art. 13 “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, il titolare del trattamento, salvo quanto previsto al § 2 dell’articolo 14, mette in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato”; art. 14 “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, 23 ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente decreto e alle norme canoniche.”), si discosta dal concetto di misure adeguate prescrivendo alcune misure minime di sicurezza, tra le quali si evidenziano:
- la tenuta dei registri, degli atti, dei documenti, degli elenchi e degli schedari all’interno di un ambiente di esclusiva proprietà dell’ente;
- il controllo, ogni 5 anni, del Vescovo;
- la dotazione di sistemi antiscasso;
- la custodia della chiave affidata al titolare del trattamento.
Anche le comunicazioni di data breach divergono da quanto normato all’interno del Regolamento Europeo sulla protezione dei dati: infatti, non solo in ambito canonico non è previsto un termine specifico per porre in essere l’adempimento comunicativo ma lo stesso deve essere diretto all’autorità ecclesiastica competente.
In merito al Responsabile per la protezione dei dati (RPD/DPO) e alla tenuta del registro dei trattamenti, invece, si riscontrano delle differenze determinate, semplicemente, dalla natura stessa dei titolari del trattamento e dai conseguenti trattamenti che vengono posti in essere, gioco forza, dagli stessi.
Infatti, il trattamento dati posto in essere da una confessione religiosa è esso stesso un dato sensibile: per questo motivo il Decreto Generale prevede l’obbligatorietà della nomina del RPD/DPO nel caso in cui gli enti pongano in essere trattamenti su larga scala (la definizione fornita dalla Confessione Episcopale è del tutto analoga a quella espressa dal WP29) e rende obbligatoria la tenuta dei registri di trattamento a tutte le entità cattoliche.
Considerazioni finali
Da ultimo occorre evidenziare che anche il Decreto Generale prevede l’obbligo formativo per tutti coloro che trattano dati e la loro nomina ad autorizzati al trattamento, con tutte le difficoltà nascenti per i soggetti che svolgono attività di volontariato.
Si rammenta che ove non sarà applicabile il Decreto Generale (es: le scuole, gli ospedali, le case di riposo, gli ambulatori, le attività caritative) verrà adottato il GDPR.