Cenni sulla normativa Come ben a vs. conoscenza dal 25 maggio 2018 è in vigore il nuovo Regolamento UE 2016/679 denominato Regolamento generale sulla Protezione dei dati (in breve RGDP o GDPR). Il regolamento non ha determinato l’abrogazione dell’attuale normativa italiana (“Codice in materia di protezione dei dati personali” di cui al D.Lgs. n. 196/2003), la quale resta applicabile in tutte le norme non incompatibili con il GDPR. Inoltre è in vigore il Decreto Legislativo 101/2018 di armonizzazione al GDPR che coordina la normativa nazionale (codice privacy) con il nuovo regolamento europeo sulla privacy. Certo il D.Lgs. 196/2003 è stato pesantemente ridimensionato, con molti articoli abrogati e molti richiami alla norma di rango superiore, rappresentata dal Regolamento Europeo. Però non perderà il suo peso specifico normativo, infatti resterà il punto di riferimento della protezione dei dati in Italia. Poi chi già avuto un giusto approccio alla materia non troverà difficoltà ad adeguarsi alle nuove norme. Informativa Ad oggi l’informativa ACI ha retto l’urto della nuova normativa, è stata rivisitata nella forma e non nella sostanza. Per maggiore trasparenza e chiarezza oltre all’informativa riportata sul modulo adesione è stata elaborata anche un’informativa più ampia dove vengono meglio specificate le attività di trattamento del dato e i diritti dell’interessato. L’informativa ampia è prevista solo per la consultazione e verrà messa anche a disposizione di tutti tramite il sito istituzionale dell’Azione cattolica italiana. Anche i livelli di liberatorie raccolte precedentemente al 25 maggio 2018 restano valide perché hanno tutte le caratteristiche richieste dalla nuova normativa. Ricordo che i dati degli aderenti sono classificati come dati sensibili (particolari secondo il GDPR) perché idonei a rilevare le convinzioni religiose. Quindi, come regola generale, il dato non può essere trattato in assenza di consenso specifico ovvero in deroga quando il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da … associazione o altro organismo senza scopo di lucro che persegua finalità … religiose. In questo caso, però, così come del resto per l’ACI, la condizione di base è che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato. L’art. 26 del RGPD disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. Si ricorda che l’ACI è dal punto di vista giuridico una Associazione non riconosciuta di laici, costituita in Italia (artt. da 36 a 38 del cod. civ.). Quindi è una Organizzazione di persone legate tra loro dal perseguimento di un fine di comune interesse. Il fine per l’ACI è espresso dall’art. 1 ove si recita: “L’Azione Cattolica Italiana è un’Associazione di laici che si impegnano liberamente, in forma comunitaria ed organica ed in diretta collaborazione con le Gerarchie, per la realizzazione del fine generale apostolico della Chiesa”. La collaborazione con la Gerarchia e la realizzazione del fine generale apostolico della Chiesa non deve far sorgere alcun dubbio circa la natura dell’ Associazione, che certamente non rientra negli Enti Ecclesiastici ma rimane una associazione di carattere religioso, soggetta per suo stesso Statuto alla autorità canonica CEI per le sue finalità apostoliche e religiose. L’Azione Cattolica Italiana, nell’eccezione di cui sopra, è costituita come associazione ecclesiale di laici a livello nazionale e a livello diocesano, a sua volta ciascuna Associazione diocesana è organicamente suddivisa in associazioni, in primo luogo con riferimento alle comunità parrocchiali, e in gruppi. Quindi le associazioni parrocchiali sono parte dell’unica associazione diocesana e l’associazione diocesana è parte dell’unica associazione nazionale. Le Associazioni nazionale, diocesane e locali dell’Azione cattolica italiana sono rispettivamente distinti centri di imputazione di interessi giuridici e non hanno scopo di lucro. I Presidenti, a tutti i livelli (nazionale, diocesano e locale), sono nominati dall’Autorità ecclesiastica competente, su proposta dei rispettivi Consigli. Nell’ambito dell’ACI i titolari del trattamento sono i rappresentanti legali pro-tempore a livello nazionale, diocesano e territoriale. Quindi deve esser considerata titolare del trattamento anche l’organismo locale di una associazione, qualora appunto eserciti un potere decisionale del tutto autonomo sulle finalità e/o sulle modalità del trattamento. In caso di associazione territoriale non strutturata (es. gruppi come prima vitale esperienza associativa, assenza della figura di Presidente, etc) è sufficiente la firma del Presidente diocesano. E’ possibile scaricare l’accordo di contitolarità dal software Dalì. Il GDPR ha fissato, con l’articolo 8, una regolamentazione specifica, che però non tocca la capacità di agire del minore, la quale rimane fissata dall’ordinamento civile nazionale (18 anni). Quindi continueremo a gestire i dati del minore così come fatto precedentemente al 25 maggio 2018. Difatti la norma non riguarda genericamente tutti i trattamenti di dati di minori, ma per la sua applicabilità richiede due requisiti: – che vi sia un’offerta diretta di servizi della società dell’informazione a soggetti minori di 16 anni; – che il trattamento dei dati dei minori sia basato sul consenso. In presenza di questi due requisiti, l’articolo 8 prevede il divieto di offerta diretta di servizi digitali (quindi iscrizione ai social network e ai servizi di messaggistica), ai minori di 16 anni, a meno che non sia raccolto il consenso dei genitori (occorre accertare che il consenso sia dato dall’esercente la patria potestà) o di chi ne fa le veci. In sostanza il GDPR introduce una deroga per i casi specifici indicati (i requisiti) alla regola generale fissata dall’ordinamento, abbassando il limite dei 18 anni (per l’Italia), quindi una sorta di maggiore età digitale raggiunta la quale è ammesso il consenso al trattamento dei propri dati personali anche con riferimento a profilazione. Inoltre, tale limite può essere ulteriormente abbassato dagli Stati nazionali (ma il limite non può scendere al di sotto dei 13 anni). In tale prospettiva il legislatore italiano ha fissato il limite di età da applicare in Italia in 14 anni, col decreto di adeguamento del Codice Privacy. Pubblicazione di fotografie online e riviste cartacee e digitali Quotidianamente l’associazione che ha un blog o un sito su internet si pone il problema se una foto ritraente una persona è o meno pubblicabile, poiché laddove la persona sia riconoscibile in foto, la sua fotografia è da considerarsi dato personale, per cui pubblicarla integra gli estremi del trattamento dei dati personali di cui il GDPR e la normativa nazionale sulla privacy. Inoltre, entra in gioco anche la normativa sul diritto d’autore. Il concetto di base è espresso nell’articolo 96 della legge sul diritto d’autore, che recita: “il ritratto di una persona non può essere esposto, riprodotto … senza il consenso di questa…”, salvo le disposizioni dell’art. 97, il quale chiarisce che “non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è giustificata dalla notorietà … da scopi scientifici, didattici o culturali o quando la riproduzione è collegata ad avvenimenti, cerimonie di interesse pubblico svoltisi in pubblico”. Il ritratto non può tuttavia essere esposto, o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione o anche al decoro della persona ritrattata”. Il volto di una persona ritratto in una fotografia è considerato dato personale, per cui è necessaria l’informativa privacy. Nel caso in cui venga omessa l’informativa privacy all’interessato, si applica una consistente sanzione amministrativa. Nel caso in cui si ritraggano delle persone non famose in luoghi pubblici si deve distinguere se la foto riguarda il luogo pubblico (ad esempio un palazzo, una chiesa) oppure un evento, e i personaggi vengono ritratti accidentalmente, cioè non sono loro l’oggetto della foto, allora la pubblicazione è possibile anche senza autorizzazione, anche se le persone siano riconoscibili, ma si deve trattare di una foto del luogo pubblico e dell’evento, non di foto delle persone. In sostanza il personaggio deve poter essere eliminato senza che la foto sostanzialmente perda la sua caratteristica. Nel caso in cui, invece, siano le persone ritratte nella foto, anche in un luogo pubblico, cioè le persone sono l’oggetto della foto (ritratte in luogo pubblico ma isolate dal contesto, e in evidenza), allora si tratta di ritratto e occorre il consenso delle persone ritratte per la pubblicazione, e questo indipendentemente dalla dimensione del personaggio nella foto. In casi particolari, come in ACI, l’immagine dell’aderente diventa addirittura dato particolare, in quanto fornisce informazioni sul suo orientamento religioso (es. se ritratto ad una funzione religiosa, in contesti di vita associativa, etc), e per essere trattato necessita del consenso scritto e informato della persona interessata. Ovviamente, se la foto ritrae un minore, l’eventuale autorizzazione alla pubblicazione (anche alla luce del recente orientamento giurisprudenziale) deve essere data da entrambi i genitori o da eventuali tutori; in assenza dell’accordo dei due genitori, la foto non è pubblicabile e viola le norme in materia civilistica e privacy oltre che la Convenzione di New York del 20/11/1989 sui diritti del fanciullo. Comunque è preferibile non pubblicare mai foto di minori, a meno che il volto non sia reso irriconoscibile o pubblicare foto riconoscibili con il consenso esplicito e libero di entrambi i genitori. Inoltre la diffusione dell’immagine di persona notoria senza il consenso dell’interessato è lecita solo se risponde ad esigenze di pubblica informazione, con lo scopo di far conoscere al pubblico l’aspetto del personaggio in questione e di documentare visivamente notizie che la riguardano, purché non sia lesa la reputazione del personaggio famoso. Nel momento in cui detta divulgazione avvenga per fini diversi, ovvero a scopo di lucro, la mancanza di consenso da parte dell’interessato rende illecito tale comportamento, obbligando l’autore al risarcimento del danno. E’ possibile scaricare il documento dal software Dalì. Registro delle attività di trattamento Si tratta di un documento, da predisporre informa scritta, anche elettronica, che contiene le principali informazioni relative alle operazioni di trattamento svolte dal titolare. Costituisce uno dei principali elementi di responsabilizzazione (acconutability) del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Chi è tenuto a redigerlo? Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD). In particolare, in ambito privato, i soggetti obbligati sono così individuabili: … qualunque titolare … (incluse associazioni, fondazioni …) che effettui trattamenti delle categorie particolari di dati (ACI). Il registro delle attività di trattamento dei dati personali è un documento che contiene le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Fornisce una sorta di biglietto da visita sulla privacy per un qualsiasi titolare/responsabile del trattamento. E’ possibile scaricare un modello semplificato dal software Dalì. Sistema adesioni Anche il software Dalì sarà oggetto di piccole novità in risposta della nuova normativa sulla privacy. In particolare si porrà in essere una gestione conforme per l’assegnazione e utilizzo delle password di accesso, connessione sicura per l’utilizzo dell’applicazione web ed adeguamento applicativo alle attuali esigenze gestionali. Sarà nostra cura darvi tempestiva informazione e formazione in merito. La Presidenza nazionale di Azione cattolica |