3 Ottobre 2022

Data Privacy: Congregazioni Religiose e Obblighi di Riservatezza

Un inventario

Sono passati quattro anni da quando il Decreto Generale della Conferenza Episcopale Italiana (“Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”) (il “Decreto Generale”) che ha recepito il GDPR (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio) è stato adottato ed è diventato vincolante per tutti gli Istituti religiosi che trattano dati personali.

Come già altri Istituti e Congregazioni, vi sarete affrettati a conformarvi alle nuove norme sulla protezione dei dati e avrete:

  • adottato una vostra politica riguardante la protezione dei dati personali (Privacy Policy)
  • creato un Registro delle Attività di Trattamento
  • Nominato un Coordinatore per la Protezione dei Dati
  • Implementato delle procedure per la segnalazione e la gestione delle violazioni dei dati
  • emesso politiche di conservazione dei dati e manuali di archiviazione
  • consegnato ai membri e ai dipendenti laici le informative sulla privacy
  • stipulato accordi per il trattamento dei dati con i responsabili esterni del trattamento

Ma cosa avete fatto da allora?

  • … avete mai controllato se questi documenti sono ancora aggiornati?
  • … ricordate chi è il Titolare e chi il Responsabile del Trattamento? Quali sono le rispettive responsabilità?
  • … vi siete mai chiesti se le misure di sicurezza tecniche e organizzative da voi adottate siano ancora sufficienti a proteggere i vostri dati personali da usi non autorizzati o illeciti, da perdita o distruzione?
  • … siete sicuri che i vostri membri e i dipendenti laici coinvolti nelle attività di trattamento dei dati siano sempre conformi alla vostra Privacy Policy, che loro rispettino le procedure interne e le misure di sicurezza?
  • … o forse è meglio chiedere se i vostri soci e dipendenti laici ricordano ancora tutte queste procedure obbligatorie e sono pienamente consapevoli dei rispettivi obblighi e responsabilità?
  • … i vostri membri sanno chi è il vostro Coordinatore per la Protezione dei Dati della Congregazione a cui possono rivolgersi in caso di rilevamento di una violazione dei dati, di un reclamo o di una richiesta di accesso da parte di un (ex) membro o di un soggetto esterno?

Se non vi sentite sicuri di poter rispondere con un SI a tutte le domande di cui sopra, è il momento di ricapitolare alcuni dei principi principali e delle disposizioni obbligatorie del GDPR e del Decreto – è questo che intendiamo fare nelle prossime settimane con le nostre “News Flash sul GDPR”.

 

Partendo dalla “A” – Accountability

Come ricorderete, uno dei principi principali introdotti dal GDPR e dal Decreto Generale è il “Principio di Responsabilità”, che può essere descritto a grandi linee come un requisito per i Titolari del trattamento – cioè per la vostra Congregazione, il vostro Istituto, la vostra Casa Generalizia o la vostra Provincia ecc. – di essere responsabili e in grado di dimostrare il rispetto dei principi di protezione dei dati.

A questo proposito, è estremamente importante mantenere aggiornati i documenti sulla protezione dei dati e formare e aggiornare regolarmente – almeno una volta all’anno (!) – i membri e i dipendenti laici coinvolti nelle attività di trattamento dei dati.

L’art. 29 del GDPR e l’art. 13 § 2 impongono al Titolare o al Responsabile del trattamento di istruire le persone che hanno accesso ai dati personali, mediante un atto scritto (iniziale), con il quale tali persone sono autorizzate a trattare i dati personali nei vari uffici e dipartimenti della vostra Istituzione.

È inoltre necessario che il Titolare svolga un’adeguata attività di formazione e di addestramento dei membri e del personale addetto trattamento dei dati. La formazione è una misura di sicurezza, un onere per il Titolare e un diritto e dovere dei membri, dei dipendenti e dei consulenti esterni che trattano i vostri dati personali.

Pertanto, il Titolare del trattamento deve predisporre un piano di formazione e aggiornamento (dando priorità ai nuovi membri e dipendenti laici e alle figure più importanti nel trattamento dei dati), stanziare risorse adeguate nei propri bilanci, pianificare test per verificare il livello di apprendimento e soluzioni alternative in caso di risultati negativi.

In caso di mancata erogazione della formazione, infatti, si applicano le sanzioni previste dal GDPR. L’adempimento degli obblighi formativi è anche spesso oggetto di ispezioni da parte dell’Autorità per la protezione dei dati.

La quintessenza del Principio di Responsabilità è che dovete essere in grado di dimostrare che erogate/avete erogato efficacemente la formazione continua ai vostri membri e dipendenti.

A tal fine, DIKAIOS offre sessioni di formazione in loco adattate alla realtà e alle esigenze specifiche della vostra Congregazione. I corsi possono essere seguiti anche online e riceverete un certificato scritto che indica i contenuti del corso, i partecipanti e gli eventuali test di valutazione superati.

DIKAIOS è inoltre disponibile a verificare insieme a voi e alle vostre entità lo stato di conformità al GDPR e a effettuare un’analisi delle criticità fornendo raccomandazioni sulle azioni necessarie.

Ci auguriamo che apprezziate le nostre News Flashes su importanti questioni relative al GDPR e che le seguiate nelle prossime settimane.

Il vostro team DIKAOIS

FLASH NEWS

Registrati per ricevere aggiornamenti

Inviamo periodicamente articoli e comunicazioni di interesse alle Congregazioni Religiose. Inoltre, invitiamo i nostri membri a tutti gli eventi gratuiti che organizziamo.

Il nostro BLog

Ultime news

Articoli e focus che approfondiscono argomenti d’interesse per le Congregazioni Religiose, scritti dai nostri esperti.

28 Marzo 2023
News

DATA PRIVACY: CONGREGAZIONI RELIGIOSE E FORMAZIONE...

Formazione obbligatoria dei membri e dei dipendenti/collaboratori laici che trattano dati personali Il Regolamento privacy europeo n. 679/2016 (GDPR), così come il Decreto Generale della Conferenza ...

Approfondisci
2 Novembre 2022
News

ALLEGGERIRE GLI IMPEGNI AMMINISTRATIVI DELLE CONGR...

Le congregazioni religiose stanno ripensando la gestione delle loro attività amministrative in modo da potersi concentrare sul loro particolare carisma e sulla propria missione *** Province, case e...

Approfondisci
28 Ottobre 2022
News

Data Privacy: Congregazioni Religiose e Obblighi d...

La vostra entità è Titolare, Contitolare o Responsabile del Trattamento dei Dati?   Perché questa domanda è importante per gli Istituti Religiosi? In sintesi, il "Titolare" è l'enti...

Approfondisci

Via Valadier 44 00193 Roma • info@dikaios.international

Tutti i diritti riservati © Copyright 2022