Data Privacy: Congregazioni Religiose e Obblighi di Riservatezza

Un inventario

Sono passati quattro anni da quando il Decreto Generale della Conferenza Episcopale Italiana (“Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”) (il “Decreto Generale”) che ha recepito il GDPR (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio) è stato adottato ed è diventato vincolante per tutti gli Istituti religiosi che trattano dati personali.

Come già altri Istituti e Congregazioni, vi sarete affrettati a conformarvi alle nuove norme sulla protezione dei dati e avrete:

• adottato una vostra politica riguardante la protezione dei dati personali (Privacy Policy)
• creato un Registro delle Attività di Trattamento
• Nominato un Coordinatore per la Protezione dei Dati
• Implementato delle procedure per la segnalazione e la gestione delle violazioni dei dati
• emesso politiche di conservazione dei dati e manuali di archiviazione
• consegnato ai membri e ai dipendenti laici le informative sulla privacy
• stipulato accordi per il trattamento dei dati con i responsabili esterni del trattamento

Ma cosa avete fatto da allora?

• … avete mai controllato se questi documenti sono ancora aggiornati?
• … ricordate chi è il Titolare e chi il Responsabile del Trattamento? Quali sono le rispettive responsabilità?
• … vi siete mai chiesti se le misure di sicurezza tecniche e organizzative da voi adottate siano ancora sufficienti a proteggere i vostri dati personali da usi non autorizzati o illeciti, da perdita o distruzione?
• … siete sicuri che i vostri membri e i dipendenti laici coinvolti nelle attività di trattamento dei dati siano sempre conformi alla vostra Privacy Policy, che loro rispettino le procedure interne e le misure di sicurezza?
• … o forse è meglio chiedere se i vostri soci e dipendenti laici ricordano ancora tutte queste procedure obbligatorie e sono pienamente consapevoli dei rispettivi obblighi e responsabilità?
• … i vostri membri sanno chi è il vostro Coordinatore per la Protezione dei Dati della Congregazione a cui possono rivolgersi in caso di rilevamento di una violazione dei dati, di un reclamo o di una richiesta di accesso da parte di un (ex) membro o di un soggetto esterno?

Se non vi sentite sicuri di poter rispondere con un SI a tutte le domande di cui sopra, è il momento di ricapitolare alcuni dei principi principali e delle disposizioni obbligatorie del GDPR e del Decreto – è questo che intendiamo fare nelle prossime settimane con le nostre “News Flash sul GDPR”.

Partendo dalla “A” – Accountability

Come ricorderete, uno dei principi principali introdotti dal GDPR e dal Decreto Generale è il “Principio di Responsabilità”, che può essere descritto a grandi linee come un requisito per i Titolari del trattamento – cioè per la vostra Congregazione, il vostro Istituto, la vostra Casa Generalizia o la vostra Provincia ecc. – di essere responsabili e in grado di dimostrare il rispetto dei principi di protezione dei dati.

A questo proposito, è estremamente importante mantenere aggiornati i documenti sulla protezione dei dati e formare e aggiornare regolarmente – almeno una volta all’anno (!) – i membri e i dipendenti laici coinvolti nelle attività di trattamento dei dati.

L’art. 29 del GDPR e l’art. 13 § 2 impongono al Titolare o al Responsabile del trattamento di istruire le persone che hanno accesso ai dati personali, mediante un atto scritto (iniziale), con il quale tali persone sono autorizzate a trattare i dati personali nei vari uffici e dipartimenti della vostra Istituzione.

È inoltre necessario che il Titolare svolga un’adeguata attività di formazione e di addestramento dei membri e del personale addetto trattamento dei dati. La formazione è una misura di sicurezza, un onere per il Titolare e un diritto e dovere dei membri, dei dipendenti e dei consulenti esterni che trattano i vostri dati personali.

Pertanto, il Titolare del trattamento deve predisporre un piano di formazione e aggiornamento (dando priorità ai nuovi membri e dipendenti laici e alle figure più importanti nel trattamento dei dati), stanziare risorse adeguate nei propri bilanci, pianificare test per verificare il livello di apprendimento e soluzioni alternative in caso di risultati negativi.

In caso di mancata erogazione della formazione, infatti, si applicano le sanzioni previste dal GDPR. L’adempimento degli obblighi formativi è anche spesso oggetto di ispezioni da parte dell’Autorità per la protezione dei dati.

La quintessenza del Principio di Responsabilità è che dovete essere in grado di dimostrare che erogate/avete erogato efficacemente la formazione continua ai vostri membri e dipendenti.

A tal fine, DIKAIOS offre sessioni di formazione in loco adattate alla realtà e alle esigenze specifiche della vostra Congregazione. I corsi possono essere seguiti anche online e riceverete un certificato scritto che indica i contenuti del corso, i partecipanti e gli eventuali test di valutazione superati.

DIKAIOS è inoltre disponibile a verificare insieme a voi e alle vostre entità lo stato di conformità al GDPR e a effettuare un’analisi delle criticità fornendo raccomandazioni sulle azioni necessarie.

Ci auguriamo che apprezziate le nostre News Flashes su importanti questioni relative al GDPR e che le seguiate nelle prossime settimane.

Il vostro team DIKAOIS