ARCIDIOCESI DI BOLOGNA

Transcript

1 Note per la Protezione dei dati personali e la privacy della persona La materia inerente la privacy è disciplinata sia dalla Legge italiana dal Codice in materia di protezione dei dati personali (Decreto legislativo del 30 Giugno 2003, n. 196); sia dall Assemblea generale della CEI che ha emanato il Decreto Generale Disposizioni per la tutela del Diritto alla buona fama e alla riservatezza, promulgato dal Presidente della CEI in data 20 Ottobre Per i casi in cui può risultare conveniente redigere un documento che soddisfi i requisiti richiesti dal decreto generale CEI, tenendo conto che tali requisiti risultano sostanzialmente conformi anche alle prescrizioni del Decreto Legislativo n. 196/2003, la CEI ha approntato un modello denominato registro dell archivio. Si deve tenere copia compilata presso l archivio parrocchiale si ricorda che tale atto deve essere redatto ogni anno entro il 31 marzo: prima di tale scadenza, si dovrà pertanto procedere all aggiornamento del "registro", conferendo al medesimo data certa. Il registro dell archivio è bene sia compilato nel rispetto delle disposizioni CEI (Disposizioni per la tutela del Diritto alla buona fama e alla riservatezza art.2 2 e 3). Si è esenti dalla necessità della compilazione del registro dell archivio, nel rispetto del Decreto Legislativo n. 196/2003, quando sono presenti contemporaneamente questi quattro elementi: - sotto il profilo soggettivo, il trattamento sia effettuato dalla Chiesa cattolica (confessione religiosa), dai suoi organi o da enti ecclesiastici civilmente riconosciuti; - sotto il profilo funzionale, l attività alla quale il trattamento si riferisce sia di religione o di culto (ai sensi dell art. 16, lettera a) della legge n. 222/1985, si considerano attività di religione o di culto quelle dirette all esercizio del culto e alla cura delle anime, alla formazione del clero e dei religiosi, a scopi missionari, alla catechesi, all educazione cristiana ); - sotto il profilo oggettivo, il trattamento riguardi dati relativi agli aderenti alla Chiesa cattolica e a soggetti che, con riferimento a finalità di natura esclusivamente religiosa, hanno contatti regolari con la Chiesa cattolica; - sotto il medesimo profilo, i dati non siano diffusi o comunicati fuori dalla Chiesa cattolica. In assenza di anche uno solo di questi elementi si è tenuti ad avere e tenere aggiornato il registro dell archivio Mod Qui a seguire trovate indicazioni reperibili dal sito CEI Ufficio Problemi Giuridici che possono essere utili a comprendere il problema. Indicazioni in ordine alla predisposizione da parte degli enti ecclesiastici del documento programmatico della sicurezza e del registro dell archivio (2 gennaio 2006) Il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196) garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza, all identità personale e al diritto alla protezione dei dati personali. 1

2 Per quanto concerne il trattamento dei dati raccolti dagli enti e dalle istituzioni della Chiesa cattolica, il decreto legislativo n. 196/2003 non trova applicazione almeno in tutti i casi in cui si verifichino le seguenti condizioni: a) sotto il profilo soggettivo, il trattamento sia effettuato dalla Chiesa cattolica (confessione religiosa), dai suoi organi o da enti ecclesiastici civilmente riconosciuti; b) sotto il profilo funzionale, l attività alla quale il trattamento si riferisce sia di religione o di culto (ai sensi dell art. 16, lettera a) della legge n. 222/1985, si considerano attività di religione o di culto quelle dirette all esercizio del culto e alla cura delle anime, alla formazione del clero e dei religiosi, a scopi missionari, alla catechesi, all educazione cristiana ); c) sotto il profilo oggettivo, il trattamento riguardi dati relativi agli aderenti alla Chiesa cattolica e a soggetti che, con riferimento a finalità di natura esclusivamente religiosa, hanno contatti regolari con la Chiesa cattolica; d) sotto il medesimo profilo, i dati non siano diffusi o comunicati fuori dalla Chiesa cattolica. A) In caso di assoggettamento alle disposizioni del decreto legislativo n. 196/2003, occorre prestare specifica attenzione al trattamento dei cosiddetti dati sensibili, fra i quali rientrano i dati idonei a rivelare le convinzioni religiose e l adesione ad organizzazioni a carattere religioso (cf. art. 4, comma 1, lettera d). Se il trattamento dei dati sensibili viene effettuato con strumenti elettronici, entro il 31 marzo 2006 deve essere redatto il documento programmatico della sicurezza nelle forme e con i contenuti indicati nell allegato B del decreto legislativo n. 196/2003. La soggezione del trattamento dei dati sensibili alle disposizioni del decreto legislativo n. 196/2003 non esclude che, nell ambito dell ordinamento canonico e ove ne ricorrano i presupposti, al medesimo trattamento si applichino anche le prescrizioni contenute nel decreto generale della Conferenza Episcopale Italiana Disposizioni per la tutela del diritto alla buona fama e alla riservatezza, promulgato il 20 ottobre B) Qualora invece il trattamento dei dati sia soggetto alle sole norme contenute nel decreto generale CEI, occorre distinguere i diversi tipi di trattamento. 1) Per i registri (cioè i volumi nei quali sono annotati, in successione cronologica e con indici, l avvenuta celebrazione dei sacramenti o altri fatti concernenti l appartenenza o la partecipazione ecclesiale) si devono rispettare, con riguardo alla tutela dei dati personali, le prescrizioni formali e sostanziali contenute nelle disposizioni canoniche generali e nell art. 2 del decreto generale CEI 1. 1 Art. 2, 3: La responsabilità della tenuta dei registri spetta di norma al soggetto cui è conferito il governo dell ente al quale i medesimi appartengono (di seguito denominato responsabile dei registri ), salvo quanto disposto dal codice di diritto canonico o dagli statuti; allo stesso soggetto spetta vigilare sulla corretta osservanza delle disposizioni canoniche in materia e coordinare l attività degli eventuali collaboratori. 4: La comunicazione di dati destinati ad altro registro può essere inoltrata dalla persona interessata o dal responsabile dei registri che deve utilizzare i dati richiesti e può essere effettuata per consegna diretta, o per posta, o - nei casi urgenti e con le opportune cautele - per fax, o per posta elettronica. Quando la comunicazione è destinata all estero occorre la vidimazione della curia diocesana. 5: Chiunque ha diritto di chiedere e ottenere, personalmente o mediante un procuratore legittimamente nominato, certificati, estratti, attestati, ovvero copie fotostatiche o autentiche dei documenti contenenti dati che lo riguardano ( ). Sono esclusi i dati che, non provenendo dal richiedente, sono coperti da segreto stabilito per legge o per regolamento ovvero non sono separabili da quelli che concernono terzi e la cui riservatezza esige tutela. Il rilascio della certificazione avviene a titolo gratuito. 6: Chiunque ha diritto di chiedere la correzione di dati che lo riguardano, se risultano errati o non aggiornati. 2

3 2) Lo stesso principio si applica agli archivi, ai sensi dell art. 3, 1, del decreto generale CEI 2. 3) Con riguardo agli elenchi e schedari, l art. 4, 5, del decreto generale CEI stabilisce che l uso dei dati personali contenuti negli elenchi e negli schedari è soggetto, nel rispetto della struttura e delle finalità degli enti ecclesiastici, alle specifiche leggi dello Stato Italiano, ai sensi del comma 3 dell art. 7 dell Accordo che apporta modificazioni al Concordato Lateranense del 18 febbraio Il rinvio alle leggi dello Stato deve essere inteso in termini sostanziali, nel senso che il trattamento dei dati contenuti in elenchi e schedari deve rispettare le prescrizioni di contenuto sostanziale stabilite da tale leggi (diritti dell interessato, regole per il trattamento, obbligo di informazione, consenso, adozione delle misure di sicurezza, ecc.), senza che la soggezione si estenda alle disposizioni amministrative, giurisdizionali e sanzionatorie: ne consegue che per gli elenchi e per gli schedari non è richiesta la redazione del documento programmatico della sicurezza. 4) Alla disciplina stabilita per gli elenchi e gli schedari debbono essere ricondotti gli annuari e i bollettini, di cui all art. 8 del decreto generale CEI 3, con l avvertenza che la loro eventuale attitudine alla diffusione e/o comunicazione al di fuori della Chiesa cattolica escluderebbe l esenzione dall applicazione del decreto legislativo n. 196/2003. C) Si possono presentare casi in cui è difficile stabilire con certezza se un determinato trattamento di dati sensibili effettuato con strumenti elettronici sia o meno assoggettabile al decreto legislativo n. 196/2003; d altra parte, è anche possibile che taluni trattamenti, che in linea generale sono soggetti solo alle leggi canoniche, possano occasionalmente esorbitare dalle previsioni di esenzione dalla legge statale. In questi casi, come in ogni altra ipotesi di incerta qualificazione, può comunque risultare prudente redigere un documento che soddisfi i requisiti richiesti dal decreto generale CEI, tenendo conto che il documento così redatto assolve sostanzialmente anche alle prescrizioni La richiesta deve essere presentata al responsabile dei registri per iscritto, personalmente o mediante un procuratore legittimamente nominato, allegando idonea documentazione, se occorre anche civile. Se il responsabile ritiene di non accogliere la richiesta di correzione, ne dà comunicazione scritta all interessato, il quale può rinnovare la richiesta all Ordinario diocesano. La correzione di dati concernenti atti e fatti riguardanti lo stato delle persone può essere disposta solo con provvedimento dell Ordinario diocesano. L interessato in ogni caso non ha diritto di ispezione dei dati del registro e dei dati sottratti alla sua conoscenza a norma del 5. 7: Chiunque ha diritto di chiedere l iscrizione nei registri di annotazioni o integrazioni congruenti. La richiesta deve essere presentata al responsabile dei registri per iscritto, personalmente o mediante un procuratore legittimamente nominato. L annotazione fatta a margine dell atto ne costituisce parte integrante; il contenuto della stessa deve in ogni caso essere trascritto nell estratto o nella copia dell atto. Il responsabile dei registri comunica per iscritto al richiedente l avvenuta annotazione. Nel caso di rigetto, la richiesta viene annotata e conservata in un appendice del registro corrispondente; il responsabile dei registri ne dà comunicazione per iscritto all interessato, che può rinnovare la richiesta all Ordinario diocesano. 8: L estrazione e la trasmissione di dati contenuti nei registri, oltre ai casi previsti nel 4, è consentita: a) su richiesta della persona interessata o con il suo consenso, espresso previamente e per iscritto; b) per ragioni di studio, con l osservanza dei criteri metodologici e deontologici concernenti le ricerche storiche e in particolare di quelli indicati dai regolamenti diocesani sugli archivi ecclesiastici; c) per ragioni statistiche, avendo prima eliminato nei dati prelevati ogni riferimento nominativo alle persone. In ogni caso non è consentita la consultazione dei registri finché questi non siano stati trasferiti nell archivio storico. 9: La richiesta di cancellazione di dati dai registri è inammissibile se concerne dati relativi all avvenuta celebrazione di sacramenti o comunque attinenti allo stato delle persone. Tale richiesta deve essere annotata nel registro, e obbliga il responsabile dei registri a non utilizzare i dati relativi se non con l autorizzazione dell Ordinario diocesano. 2 Art. 3, 1: Per gli atti e i documenti di qualunque provenienza custoditi negli archivi degli enti ecclesiastici e contenenti dati personali si applicano, in quanto compatibili, le disposizioni contenute nell articolo precedente. 3 Art. 8, 1: Gli annuari, in quanto strumenti utili per l esercizio dei compiti istituzionali della Conferenza Episcopale Italiana e delle diocesi, sono redatti ed editi a cura delle medesime e contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto. 2. I fogli informativi a uso interno registrano ordinariamente gli eventi più significativi della vita e dell attività degli enti che li pubblicano, e possono contenere dati relativi alle persone implicate in celebrazioni e manifestazioni o che hanno elargito offerte; a meno che nei singoli casi gli interessati chiedano di evitarne la divulgazione. 3

4 del decreto legislativo n. 196/2003 in tema di documento programmatico della sicurezza: a tal fine è stato approntato un modello, denominato registro dell archivio. Al registro dell archivio deve essere conferita data certa anteriore al 31 marzo 2006, così da realizzare l effetto della sua completa equiparazione giuridica al documento programmatico della sicurezza. * Al fine di coadiuvare gli enti ecclesiastici nell adempimento degli obblighi sopra menzionati l Ufficio Nazionale per i problemi giuridici e il Servizio informatico della CEI hanno predisposto un servizio di consulenza. Si prega di inoltrare eventuali quesiti e richieste di chiarimento esclusivamente ai seguenti indirizzi: privacy@chiesacattolica.it fax ASPETTI PARTICOLARI La sicurezza dei dati e dei sistemi nel Codice sulla Privacy 08/06/2004 Ufficio Nazionale per i problemi giuridici Il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196) nasce con l obiettivo di razionalizzare il corpo normativo che si è venuto a stratificare nel corso di questi ultimi anni, semplificando al contempo alcuni adempimenti; in particolare, il provvedimento riunisce in unico ambito la legge n. 675/1996 e altri decreti successivi e ne completa l armonizzazione con le direttive dell Unione Europea e con i codici deontologici che si sono succeduti negli anni recenti. Il Codice si compone di tre parti (disposizioni generali, disposizioni particolari e disposizioni relative alle azioni di tutela dell interessato e al sistema sanzionatorio) ed è completato da tre allegati, contenenti: i codici di deontologia (allegato A); il disciplinare tecnico in materia di misure minime di sicurezza (allegato B); l elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (allegato C). Tra le nuove disposizioni introdotte vanno segnalate quelle riguardanti le misure di sicurezza che gli operatori pubblici e privati sono tenuti ad adottare per la protezione dei dati personali. Le misure di sicurezza sono indicate negli artt, 31-36, mentre le restanti ventinove dettagliate prescrizioni sono riportate nell allegato B. Con le nuove norme il concetto di protezione dei dati deve essere inteso in modo più ampio: è stato introdotto infatti il principio di necessità del trattamento (art. 3), in base al quale i sistemi informativi devono essere predisposti in modo tale che i dati personali devono essere utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, escludendo, quindi, il trattamento per il conseguimento di obiettivi che possono essere raggiunti mediante l uso di dati anonimi ovvero organizzati in modo da consentire l identificazione delle sole informazioni strettamente necessarie. Nel Codice vengono definite unicamente le figure centrali del titolare e del responsabile del trattamento; rispetto al dpr n. 318/99, scompaiono alcune figure, quali ad esempio l amministratore di sistema o il custode delle parole chiave. L art. 31 (obblighi di sicurezza) prevede che il titolare e il responsabile debbano disporre un apparato di sicurezza idoneo contro i rischi di distruzione, perdita, manipolazione, utilizzo improprio o illecito di tutti i dati personali trattati, indipendentemente dalla natura degli stessi (dati comuni, sensibili o giudiziari). 4

5 Il legislatore, pertanto, nell indicare le misure di sicurezza idonee a garantire la protezione dei dati, definisce gli obiettivi da perseguire, lasciando al titolare la più completa autonomia nella scelta delle modalità e dei mezzi adatti al raggiungimento di tali obiettivi. Gli artt. 33, 34 e 35 elencano le misure di sicurezza minime, distinguendo tra trattamenti effettuati con o senza l ausilio degli strumenti elettronici e rimandando al disciplinare tecnico per la trasposizione degli stessi concetti in modalità operative. Il soggetto che ha l accesso al trattamento di determinate informazioni deve averne assoluta necessità in ragione della sua attività e deve superare un duplice controllo che consiste: a) in una verifica di autenticazione, al fine di poter utilizzare l apparecchiatura elettronica; b) in una verifica di autorizzazione, al fine di poter utilizzare attraverso l apparecchiatura una determinata applicazione informatica destinata al trattamento delle informazioni. La verifica di autenticazione rappresenta un primo livello di controllo. Il disciplinare tecnico prevede infatti che un soggetto, per poter accedere a uno strumento informatico per trattare dati personali, deve essere in possesso delle cosiddette credenziali di autenticazione. Queste ultime possono essere costituite dalla combinazione di un utenza individuale (userid), associata a una parola chiave (password), per l utilizzo della quale sono previste alcune caratteristiche: la password deve essere mantenuta segreta e deve constare almeno di otto caratteri (o del numero massimo di caratteri consentito nel sistema), di non facile codificazione e deve essere costantemente modificata a intervalli di tempo non superiori a sei mesi (novanta giorni in caso di trattamento dei dati sensibili o giudiziari). L autorizzazione, invece, consiste nella verifica della legittimità o meno di un soggetto ad accedere a una determinata applicazione che tratti dati personali nonché nella verifica del suo profilo di abilitazione. L autorizzazione, quindi, deve essere costantemente controllata ed eventualmente revocata in caso di perdita delle condizioni che l avevano resa necessaria. Rispetto al dpr n. 318/99, per prevenire la distruzione o la perdita di dati, il nuovo disciplinare tecnico prevede l adozione sia di programmi antivirus sia di programmi firewall in grado di proteggere tutte le infrastrutture della rete interna da possibili intrusioni provenienti da Internet o da altre reti esterne. I dati personali devono essere salvati con frequenza almeno settimanale tramite la realizzazione di procedure di back-up e di disaster recovering, per garantire in ogni evenienza una copia aggiornata dei dati. Rilevante inoltre è la novità introdotta in merito alla redazione di un documento programmatico sulla sicurezza (DPS), obbligatorio in tutti i casi in cui il titolare tratti dati personali sensibili o giudiziari mediante l uso di strumenti elettronici, collegati o meno in rete. Il DPS deve essere redatto entro il 31 marzo di ogni anno (per il 2004, il termine è stato prorogato al 30 giugno) e deve contenere, oltre all elenco dei trattamenti di dati personali, la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati e l analisi dei rischi che incombono sugli stessi. Debbono essere previsti interventi formativi per gli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi. La formazione dovrebbe essere programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi strumenti rilevanti rispetto al trattamento dei dati. Il titolare deve procedere ad adottare il nuovo standard stabilito per le misure minime di sicurezza entro il 30 giugno 2004; in realtà, per quanto attiene alle misure di sicurezza contenute nel dpr n. 318/99, esse dovrebbero essere già in esercizio secondo le scadenze fissate dal decreto. Le misure previste dal disciplinare richiedono invece un intervento del tutto nuovo o un adeguamento delle misure precedenti: solo in presenza di determinate circostanze la scadenza del 30 giugno 2004 potrà essere prorogata al 31 dicembre 2004 (art. 180). In ogni caso il mancato adeguamento dovrà essere riconducibile ad obiettive ragioni tecniche, che 5

6 andranno descritte in un documento con data certa da conservare agli atti presso la propria struttura. Il titolare dovrà dunque adottare ogni misura idonea a evitare un incremento del rischio e adeguare entro il 1 gennaio 2005 i propr i strumenti elettronici. Per quanto attiene al profilo sanzionatorio, la mancata adozione delle misure minime di sicurezza costituisce illecito penale punibile con l arresto o con l ammenda. L autore del reato potrà avvalersi del cosiddetto ravvedimento operoso, che dovrà essere adottato correttamente seguendo le prescrizioni impartite dal Garante. L adempimento e il pagamento di un ammenda ridotta estinguono il reato. Adempimenti in materia di tutela della privacy Codice in materia di protezione dei dati personali - decreto legislativo 30 giugno 2003, n. 196 (08/06/2004) Ufficio Nazionale per i problemi giuridici Informativa L art. 13 del Codice in materia di protezione dei dati personali prevede che l interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa il complesso delle caratteristiche e delle modalità del trattamento che abbia ad oggetto i medesimi dati. L avverbio previamente fa supporre che l adempimento dell obbligo possa essere sia precedente, sia contestuale alla suddetta raccolta: sono le caratteristiche della raccolta stessa a determinare il momento dell informativa. L obbligo deve essere adempiuto sia nel caso in cui il regime di circolazione dei dati sia vincolato al principio del consenso, sia nel caso in cui sia invece libero. L omessa o inidonea informativa all interessato è punita con una sanzione amministrativa pecuniaria (art. 161). Consenso Il trattamento di dati personali è ammesso solo con il consenso espresso (sono pertanto irrilevanti il silenzio, la tolleranza e il comportamento concludente) dell interessato, che può riguardare l intero trattamento ovvero una o più operazioni dello stesso. Il consenso deve essere espresso liberamente [cioè deve presentarsi come manifestazione del diritto all autodeterminazione informativa] e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto (art. 23). Nel caso di dati sensibili il consenso deve essere manifestato in forma scritta. Il legislatore ha scisso in due distinte disposizioni il consenso (art. 23) e i casi di esclusione (art. 24). Tra questi ultimi, è prevista la fattispecie relativa al trattamento effettuato, con esclusione della comunicazione all esterno e della diffusione, da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il conseguimento di scopi determinati e legittimi individuati dall atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all atto dell informativa (art. 24, lett. b). Per i casi esclusione del consenso, si rinvia alla parte relativa ai dati sensibili. Notificazioni Entro il 30 aprile 2004 devono essere effettuate le notificazioni del trattamento di dati personali al Garante (art. 37). Il Garante, con provvedimento del 31 marzo 2004, ha stabilito i casi da sottrarre all obbligo di notificazione. Fra questi rientrano, con riferimento ai casi di cui al comma 1, lett. c, dell art. 6

7 37, i trattamenti di dati idonei a rivelare la sfera psichica dei lavoratori effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza. Garanzie per i dati sensibili In via generale i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell interessato e previa autorizzazione del Garante (art. 26). Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto. - Eccezioni 1. La disciplina generale prevista per il trattamento dei dati sensibili, sopra richiamata, non trova applicazione nelle ipotesi del trattamento dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che, con riferimento a finalità di natura esclusivamente religiosa, hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni (art. 26, comma 3, lett. a). Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante. Le confessioni religiose che, prima dell adozione del Codice, hanno già determinato e adottato le garanzie anzidette, possono proseguire l attività di trattamento nel rispetto delle medesime (art. 181, comma 6): con riguardo alla Chiesa cattolica si veda il decreto generale dalla Conferenza Episcopale Italiana Disposizioni per la tutela del diritto alla buona fama e alla riservatezza (20 ottobre 1999). 2. I dati sensibili possono essere oggetto di trattamento anche senza consenso, ma previa autorizzazione del Garante, quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l associazione, ente od organismo, sempre che i dati non siano comunicati all esterno o diffusi e l ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all atto dell informativa ai sensi dell articolo 13 (art. 26, comma 4, lett. a). Autorizzazioni Le disposizioni del Codice che prevedono un autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate sulla Gazzetta Ufficiale. Il titolare del trattamento che rientra nell ambito di applicazione di un autorizzazione non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento è conforme alle relative prescrizioni. L eventuale richiesta di autorizzazione è formulata utilizzando solo il modello predisposto dal Garante e trasmessa a quest ultimo in via telematica. La medesima richiesta e l autorizzazione possono essere trasmesse via fax o lettera raccomandata. Misure di sicurezza: Entro il 30 giugno 2004 devono essere adottate le misure di sicurezza di cui agli artt. 33 (misure minime) e 35 (trattamenti senza l ausilio di strumenti elettronici) e all allegato b) (disciplinare tecnico in materia di misure minime di sicurezza). 7

8 In particolare, entro il 30 giugno 2004 deve essere redatto il Documento programmatico sulla sicurezza (DPS). È prevista una sanzione prevista per chi non redige il DPS, dal momento che il documento costituisce una delle misure minime di sicurezza. Sono tenuti ad adottare il DPS tutti coloro che trattano dati sensibili o giudiziari con mezzi informatici, anche se hanno già redatto il documento nel L atto, che non deve essere trasmesso al Garante, deve essere dotato di data certa. Entro il 1 gennaio 2005 dovranno essere adottate l e nuove misure minime di sicurezza in relazione agli strumenti elettronici (art. 34). Riguardo agli obblighi di sicurezza e al documento programmatico, il Garante è intervenuto con parere del 22 marzo 2004, nel quale sono stati indicati, tra l altro, i termini per l adozione delle nuove misure minime di sicurezza e del documento programmatico. Privacy e minori (19/06/2002) A. P. - Osservatorio Giuridico-Legislativo Al Servizio informatico della CEI è stato rivolto un quesito, da parte di una parrocchia, riguardante la possibilità di pubblicare sul sito web della Parrocchia una serie di fotografie che ritraggono dei bambini mentre partecipano ad alcuni avvenimenti organizzati dalla Parrocchia stessa. Il problema sollevato è relativo al fatto se la pubblicazione di dette fotografie possa ledere la legge sulla privacy (l. n. 675/96) e/o addirittura violare la disciplina sulla pedofilia (l. n. 269/98). Riguardo a quest ultima fattispecie, si può richiamare l art. 600-ter del codice penale, che punisce chiunque sfrutta minori degli anni diciotto al fine di realizzare esibizioni pornografiche o produrre materiale pornografico... ovvero distribuisce o divulga notizie o informazioni finalizzate all adescamento o allo sfruttamento sessuale di minori degli anni diciotto Non trattandosi, nel caso di specie, di immagini pornografiche, non è ipotizzabile il delitto contro la personalità di un minore. Per quanto concerne il problema del rispetto delle disposizioni contenute nella legge sulla privacy, deve essere ricordato l art. 3 della l. n. 675/96: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all applicazione della presente legge, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione. Inoltre, il caso della diffusione delle info attraverso internet è regolato dall art. 25, comma 4- bis, della richiamata l. n. 675/96, che recita: Le disposizioni della presente legge che attengono all esercizio della professione di giornalista si applicano anche ai trattamenti effettuati dai soggetti iscritti nell elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69, nonché ai trattamenti temporanei finalizzati esclusivamente alla pubblicazione occasionale di articoli, saggi e altre manifestazioni del pensiero. Il fatto di pubblicare delle fotografie su di un sito web richiede pertanto una certa cautela sottolineata anche dal Garante della protezione dei dati personali allorquando si tratta, in particolare, di tutelare la figura dei minori. Il Garante, in più occasioni, ha avvertito l esigenza di ribadire che uno dei settori ove debbano essere limitate le indebite intrusioni nella vita privata è quello concernente i minori. Il trattamento dei dati personali nell'ambito dell'attività giornalistica deve rispettare - ha spiegato il Garante - le prescrizioni della legge sulla privacy e del codice deontologico dei giornalisti che prevedono una tutela più rafforzata per il diritto alla riservatezza dei minori. 8

9 Tale diritto deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca (art. 7 del codice deontologico dei giornalisti, pubblicato sulla Gazzetta ufficiale del 29/7/98), anche quando il minore sia coinvolto in fatti di cronaca o sussista un motivo di rilevante interesse pubblico alla conoscenza di determinate notizie: in questi casi, il giornalista deve comunque "farsi carico delle responsabilità di valutare se la pubblicazione sia davvero nell'interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla Carta di Treviso (adottata nell ottobre del 1990)". In riferimento a quest ultimo documento sembra opportuno riportare quanto affermato, tra l altro, riguardo alla tutela del minore definito come persona in divenire, prevalendo (la tutela) su tutto il suo interesse ad un regolare processo di maturazione che potrebbe essere profondamente disturbato e deviato da spettacolarizzazioni del suo caso di vita, da clamorosi protagonismi o da fittizie identificazioni. Alla luce di tali brevi richiami, il caso della pubblicazione sul sito web di una Parrocchia di fotografie ritraenti minori mentre partecipano ad alcune attività della stessa parrocchia non sembra violare il diritto alla riservatezza del minore, soprattutto se non vengono indicati il nome e il cognome o altri dati identificativi. In via cautelativa, comunque, parrebbe consigliabile pubblicare delle fotografie dove i bambini non risultino identificabili, magari attraverso immagini riprese da lontano, onde evitare che possano essere desunti altri tipi di dati personali (si pensi alla categoria dei dati sensibili, quali le convinzioni religiose, trattandosi di fotografie riprese nell ambito delle attività parrocchiali). Inoltre, sembrerebbe opportuno richiedere il consenso scritto da parte degli esercenti la patria potestà di ogni singolo minore riconoscibile nelle fotografie all uso fatto delle stesse immagini (artt. 11 e 10 della l. n. 675/96). Elenco Documenti disponibili Note per la Protezione dei dati personali e la privacy della persona.pdf MOD. 040 Registro dell Archivio (schema della CEI).doc Decreto CEI Buona fama.pdf Codice sulla Privacy.pdf 9