Data Privacy: Congregazioni Religiose e Obblighi di Riservatezza (Parte II)

La vostra entità è Titolare, Contitolare o Responsabile del Trattamento dei Dati?

Perché questa domanda è importante per gli Istituti Religiosi?

In sintesi, il “Titolare” è l’entità che, da sola o insieme ad altri, determina come e perché vengono trattati i dati personali, mentre il “Responsabile” è l’entità terza (o esterna) che tratta i dati personali degli interessati sotto la direzione del Titolare.

Ogni volta che un’entità religiosa tratta dati personali, lo fa prevalentemente come Titolare del trattamento e non come Responsabile del trattamento.

Secondo il GDPR (Regolamento (UE) 2016/679 e il Decreto Generale della Conferenza Episcopale Italiana (“Disposizioni per la tutela del diritto alla reputazione e alla riservatezza”) (il “Decreto Generale“), questi ruoli comportano responsabilità e obblighi diversi.

Pertanto, è importante che ciascuna delle vostre entità, come la Congregazione stessa, le vostre Province o la vostra Casa Generalizia, sia in grado di:

• identificare gli scenari in cui agisce come Titolare del trattamento;
• comprendere gli obblighi che si applicano ai Titolari del trattamento; e
• rispettare tali obblighi.

Cosa succede se il vostro ente agisce come “Contitolare”?

In molte circostanze (in particolare quando il trattamento avviene a livello intra-congregazionale) le diverse unità locali potrebbero non rendersi conto dell’esistenza di una contitolarità. Il GDPR obbliga gli enti a tener d’occhio le potenziali situazioni di contitolarità. Qualora si verifichino, le vostre unità locali devono stipulare accordi adeguati che ripartiscano le responsabilità di conformità alla protezione dei dati tra i Contitolari.

Quali sono le responsabilità dei contitolari?

Gli interessati possono far valere i propri diritti nei confronti di uno qualsiasi dei Contitolari del trattamento. Ogni contitolare è responsabile per la totalità del danno, anche se la legislazione nazionale può ripartire la responsabilità tra di loro. Un Titolare del trattamento può essere esonerato dalla responsabilità solo se dimostra di non essere in alcun modo responsabile del danno.

Cosa deve fare il vostro ente per conformarsi nel caso in cui agisca come Titolare/Contitolare?

I Titolari e i Contitolari hanno la responsabilità primaria di garantire che le attività di trattamento siano conformi al GDPR e al Decreto Generale. Ogni ente che agisce come Titolare del trattamento deve:

• rivedere regolarmente tutte le proprie attività di trattamento dei dati alla luce del GDPR;
• rivedere e identificare le attività di trattamento dei dati per le quali è Titolare e assicurarsi di comprendere le proprie responsabilità in qualità di Titolare;
• assicurarsi costantemente che, in relazione a ciascuna attività di trattamento per la quale è Titolare, abbia implementato misure tecniche e organizzative adeguate per garantire la conformità al GDPR;
• assicurarsi di disporre di processi e modelli adeguati per identificare e (ove necessario) segnalare tempestivamente le violazioni dei dati; e
• garantire ed essere in grado di dimostrare che i membri e i dipendenti coinvolti nelle attività di trattamento sono costantemente aggiornati sulla normativa sulla privacy e quindi guidati da programmi di formazione specifica.

Come ci si adegua?

La conformità alla privacy dei dati si basa su un principio centrale introdotto dal GDPR: Privacy by Design and Default.

Questo principio significa che la conformità alla normativa UE sulla protezione dei dati non deve essere una correzione ex-post, ma deve invece essere trattata come una questione chiave nella pianificazione e nell’implementazione di qualsiasi (nuova) attività o servizio che riguardi i dati personali.

Gli Istituti Religiosi devono quindi monitorare regolarmente la conformità al GDPR e al Decreto Generale e controllare che le loro politiche di protezione dei dati siano rispettate da tutti i membri, i dipendenti e il personale coinvolto nelle operazioni di trattamento.

Ciò include l’assegnazione di responsabilità specifiche, la sensibilizzazione e la formazione dei membri e del personale, le verifiche annuali dei processi interni e della documentazione messa in atto e la revisione delle nomine dei Responsabili del Trattamento.

Nomina dei Responsabili del trattamento

Le entità religiose che agiscono in qualità di responsabili del trattamento nominano di solito fornitori di servizi e consulenti esterni, come avvocati, contabili, società di gestione paghe, ecc. per trattare i dati personali per loro conto. Il GDPR e il Decreto Generale consentono questa pratica, ma impongono requisiti rigorosi agli Istituti che desiderano farlo.

Un’unità locale che desideri nominare un Responsabile deve utilizzare solo Responsabili che garantiscano la conformità al GDPR e al Decreto Generale.

I cosiddetti ” Data Processing Agreements” devono essere stipulati con tutti i Responsabili del trattamento utilizzati dalla Congregazione e dalle sue unità locali, e ci sono requisiti significativi che devono essere inclusi in tutti i contratti di questo genere.

In altre parole, gli Istituti devono nominare il Responsabile sotto forma di un accordo vincolante in forma scritta, in cui si stabilisce che il Responsabile del Trattamento dovrà:

• agire solo su istruzioni documentate del Titolare;
• imporre obblighi di riservatezza a tutto il personale che tratta i dati in questione;
• garantire la sicurezza dei dati personali trattati;
• rispettare le norme relative alla nomina dei sub-responsabili;
• attuare misure per assistere il Titolare nelle risposte a richieste da parte degli interessati;
• a scelta del Titolare del trattamento, restituire o distruggere i dati personali al termine del rapporto; e
• fornire al responsabile del trattamento tutte le informazioni necessarie per dimostrare la conformità al GDPR e al Decreto Generale.

Va da sé che molte nomine e accordi sul trattamento dei dati stipulati ai tempi dell’entrata in vigore del GDPR e del Decreto Generale potrebbero non essere più aggiornati, o addirittura che l’obbligo di stipulare questo tipo di accordi sia stato trascurato negli anni successivi.

Gli audit annuali sulla protezione dei dati e le revisioni periodiche della documentazione pertinente non solo aiutano a rimanere conformi in futuro, ma sono richiesti dalla legge e sono l’unico modo per essere conformi anche nel presente.

Ci auguriamo che apprezziate le nostre News Flash su importanti questioni relative al GDPR e che le seguiate nelle prossime settimane.

Il vostro Team DIKAIOS