DISPOSIZIONI GENERALI IN MATERIA DI PRIVACY

In generale si rammenta che la Parrocchia, in qualità di ente ecclesiastico civilmente riconosciuto, dunque soggetto di diritto, nello svolgimento delle proprie molteplici attività, viene a contatto con una molteplicità di persone fisiche o giuridiche cioè di soggetti dei quali raccoglie e gestisce una serie di dati personali che, a secondo del loro contenuto, possono essere classificati in comuni, sensibili o giudiziari.

Si intendono per:

1. dati ''personali comuni'' qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (nome, cognome, data e luogo di nascita, codice fiscale, indirizzo ecc..)
2. dati "personali sensibili" quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (es. certificato relativo al battesimo o ad altro sacramento, tessere di adesione ecc..);
3. dati "personali giudiziari" quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato.

A questo proposito si segnala che, nell’ambito delle autorizzazioni al trattamento di dati sensibili, rilasciate e periodicamente rinnovate dal Garante della privacy, è in vigore l’Autorizzazione n. 3/2007 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni 28 giugno 2007 (G.U. n.196 del 24-8-2007 Suppl. Ordinario n.186 e successivi aggiornamenti) secondo la quale: “è consentito il trattamento dei dati sensibili da parte di associazioni, fondazioni, comitati ed altri organismi di tipo associativo, senza scopo di lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus);

L'autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi […] e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico.

Resta fermo l'obbligo per le confessioni religiose di determinare, ai sensi dell'art. 26, comma 3, lett. a) del Codice, idonee garanzie relativamente ai trattamenti effettuati. Ai sensi dell'art. 181, comma 6, del Codice, le confessioni religiose che, prima dell'adozione del medesimo Codice, abbiano determinato e adottato nell'ambito del rispettivo ordinamento le garanzie di cui all'art. 26, comma 3, lett. a), del Codice possono proseguire l’attività di trattamento effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, nel rispetto delle medesime (per la Chiesa Cattolica il Decreto Generale CEI del 20 ottobre 1999).

Il trattamento può riguardare i dati sensibili attinenti:

• agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalità di cui al punto 1), ai relativi familiari e conviventi;
• agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con l'associazione, la fondazione o il diverso organismo;
• ai soggetti che ricoprono cariche sociali o onorifiche;
• ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi prestati dall'associazione o dal diverso organismo, limitatamente ai soggetti individuabili in base allo statuto o all'atto costitutivo, ove esistenti

NORMATIVA DI RIFERIMENTO

E’ opportuno ricordare che non tutti i dati trattati dagli enti ecclesiastici civilmente riconosciuti sono soggetti alla normativa statale sulla privacy e agli obblighi ivi previsti. Nella maggior parte dei casi, infatti, la Parrocchia deve attenersi solo a quanto statuito dal vigente Decreto Generale CEI del 20/10/1999 “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza” quale specifica normativa adottata dalla Chiesa Cattolica, rispettosa della legislazione italiana e al tempo stesso delle esigenze della comunità ecclesiale e della peculiarità del suo ordinamento.

Si può pertanto distinguere tra:

• dati soggetti al Decreto Generale CEI;
• dati soggetti alla normativa statale sulla privacy.

DATI SOGGETTI AL DECRETO GENERALE CEI

Sono soggetti al Decreto Generale CEI 20 ottobre 1999 i dati personali, anche sensibili o giudiziari, di aderenti alla Chiesa Cattolica (battezzati) e di persone che con essa hanno rapporti regolari esclusivamente per finalità religiose (catecumeni, ma anche chi, non battezzato, compie un percorso di discernimento spirituale e di avvicinamento alla fede) alle seguenti condizioni:

• dati trattati da enti ecclesiastici civilmente riconosciuti (es. la Parrocchia) nell'ambito di attività istituzionali di religione e culto. Tali sono quelle dirette (cfr. art. 16, lett. a), legge 222/1985):
  • all'esercizio del culto e alla cura delle anime,
  • alla formazione del clero,
  • a scopi missionari, alla catechesi,
  • all'educazione cristiana;
• sussistenza di un'autoregolamentazione in materia fissata dalla Confessione religiosa (per la Chiesa cattolica si applica il sopra ricordato Decreto Generale della CEI 20 ottobre 1999, con le determinazioni applicative);
• assenza di comunicazione o diffusione all'esterno di detti dati (si rimane all'interno della confessione religiosa e non sussiste comunicazione di dati all'esterno se, ad esempio, una parrocchia comunica dati personali a un ufficio pastorale della Curia diocesana e viceversa).
• I suddetti requisiti, a) b) c), devono tutti sussistere contemporaneamente per ritenere non applicabile la normativa statale sulla tutela della privacy.

Sono dati personali di tale natura, ad esempio:

• quelli inseriti nei registri canonici del battesimo, di matrimonio e di altri sacramenti;
• gli elenchi dei membri dei consigli pastorali e affari economici;
• gli elenchi degli operatori pastorali
• catechisti, educatori e animatori di oratorio, operatori Caritas, ecc.;
• gli elenchi dei frequentanti i corsi di catechesi, di iniziazione cristiana e di formazione degli operatori pastorali, ecc.

DATI SOGGETTI ALLA NORMATIVA STATALE SULLA PRIVACY

Sono sempre soggetti alla disciplina prevista dal Codice della privacy (D.Lgs. 196/2003) tutti i dati relativi a:

• dipendenti o collaboratori a progetto;
• fornitori;
• professionisti collaboratori;

La disciplina dettata dal Codice della Privacy va inoltre applicata in tutte le ipotesi in cui vengono trattati dati nell'ambito di attività diverse da quelle di religione e di culto ex art. 16, lett. b) legge 222/1985, quali:

• attività di assistenza e beneficenza (es. asili nido, case di riposo, centri di accoglienza, mense dei poveri, consultori, ecc.);
• istruzione (scuole parrocchiali dell'infanzia, ex materne e scuole di altri gradi di istruzione)
• educazione e cultura (es. attività svolte da gruppi parrocchiali di animazione culturale, teatrale, ecc.)
• altre attività commerciali (es. bar parrocchiali, sale cinematografiche, ecc.)

Soggetti da individuare per il trattamento

La normativa distingue tra:

• il titolare del trattamento è colui a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compresi il profilo della sicurezza (nelle Parrocchie il titolare è sempre il parroco pro tempore);
• il responsabile è il soggetto preposto dal titolare, con apposita delega, al trattamento dei dati. La nomina del responsabile non è obbligatoria, ma è una libera scelta del titolare; qualora il responsabile non venga nominato, le figure del titolare e del responsabile coincidono. Qualora, invece, il titolare intenda nominare un responsabile, sarà opportuno che questi sia soggetto competente e idoneo per l'incarico conferitogli (ad esempio un membro del consiglio affari economici oppure il direttore della scuola materna oppure il responsabile del centro di ascolto... );
• l'incaricato è la persona autorizzata dal titolare a compiere operazioni di trattamento dei dati nel rispetto delle istruzioni impartite dal titolare stesso o dal responsabile (ad esempio collaboratori, volontari, …);
• l'interessato è la persona fisica o giuridica cui si riferiscono i dati trattati.

Documentazione da predisporre

Per i dati soggetti al Codice della Privacy la Parrocchia ha l'onere di predisporre e mantenere aggiornata una specifica documentazione di seguito elencata:

1. informativa, da predisporre sin da subito e consegnare ai diversi soggetti che forniscono dati personali e/o sensibili e/o giudiziari alla Parrocchia, con acquisizione del relativo consenso;
2. lettera di incarico che il titolare del trattamento deve predisporre per ciascun soggetto incaricato a compiere concretamente operazioni di trattamento dei dati. Le diverse lettere di incarico devono essere conservate dal titolare in un apposito archivio;
3. lettera di nomina del responsabile, qualora il parroco ritenga opportuno delegare un terzo preposto al trattamento dei dati;
4. DPS - documento programmatico di sicurezza - da mantenere aggiornato entro il 31 marzo di ogni anno nel caso in cui i dati sensibili e/o giudiziari vengano trattati con supporti informatici (secondo quanto previsto dalle misure minime di sicurezza descritte nell’Allegato B al Codice della Privacy)

E' opportuno ricordare che, qualora i dati personali vengano trattati senza l'ausilio di strumenti informatici e dunque con semplici schede cartacee, è sempre necessario conservare tutta la documentazione in un apposito archivio chiuso a chiave, se possibile nello studio del titolare o del responsabile, accertandosi che le chiavi vengano tenute solo dagli stessi.

L'art. 35 nonché l'allegato B del D.Lgs. 196/2003 precisano altresì che agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Dati relativi a lavoratori dipendenti

Per quanto riguarda il trattamento dei dati inerenti i lavoratori dipendenti , si consiglia di rivolgersi direttamente al professionista che cura tutti gli adempimenti connessi ai lavoratori stessi; si suggerisce, in ogni caso, di conservare eventuali duplicati di documenti contenenti dati inerenti i lavoratori in modo ordinato e protetto.

Si rimanda, per una sintetica illustrazione della disciplina generale e delle norme sulle misure minime di sicurezza alla scheda di sintesi in materia di privacy e sicurezza, predisposta dall’Ufficio Avvocatura in collaborazione con l’Ufficio Progetti informatici e statistica, nonché, per quanto riguarda il Codice della Privacy in genere, alle note dell’Ufficio Nazionale per i Problemi Giuridici della CEI, scaricabili dal sito:

http://www.chiesacattolica.it/pls/cci_new/consultazione.mostra_pagina?id_pagina=1999&id_sessione=1092