In sintesi
- L'art. 91 GDPR tutela le norme di chiese e associazioni religiose già vigenti.
- Continuano ad applicarsi se compatibili con il GDPR.
- Possibile autorità di controllo specifica della confessione (par. 2).
- In Italia: Chiesa Cattolica con Decreto generale CEI 1999, integrato.
- Altre confessioni con Intese: discipline proprie.
- Senza autorità specifica: Garante competente.
Testo dell'articoloVigente
Articolo 91 del Regolamento (UE) 2016/679 (GDPR) — Norme di protezione dei dati vigenti presso chiese e associazioni religiose.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Tutela dell'autonomia delle chiese
L'art. 91 GDPR tutela le norme di protezione dei dati delle chiese e delle associazioni religiose già in vigore al momento dell'entrata in vigore del GDPR. Le chiese e le associazioni religiose che, al momento dell'entrata in vigore del Regolamento, applichino norme esaurienti relative alla protezione dei dati personali possono continuare ad applicarle, purché siano rese compatibili con il GDPR. La logica è di rispettare l'autonomia delle confessioni religiose nel disciplinare i propri trattamenti.
Norme vigenti al momento del GDPR
Le norme vigenti coperte sono quelle adottate prima dell'entrata in vigore del GDPR (25 maggio 2016 per i requisiti generali, applicabile dal 25 maggio 2018). Tipicamente disciplinano: dati dei fedeli (registri di battesimo, matrimonio, sacramenti), dati del personale religioso, dati di sostenitori e collaboratori. Le normative variano per confessione e tradizione.
Compatibilità con il GDPR
La compatibilità con il GDPR è condizione: le norme religiose devono essere rese compatibili. Ciò significa che i principi del Regolamento (liceità, finalità, minimizzazione, sicurezza, accountability) e i diritti degli interessati devono essere garantiti, anche se attraverso strumenti specifici delle confessioni. Le confessioni hanno adattato i propri regolamenti.
Autorità di controllo specifica
Il par. 2 prevede che le chiese e le associazioni religiose che applicano norme esaurienti siano soggette al controllo di un'autorità di controllo indipendente, che può essere specifica, purché soddisfi le condizioni del Capo VI (artt. 51 ss.). È deroga rispetto alla regola generale dell'Autorità nazionale: le confessioni possono avere autorità di controllo proprie. In pratica, soluzione adottata raramente.
In Italia: la disciplina della Chiesa Cattolica
In Italia, la Chiesa Cattolica applica il Decreto generale CEI 'Disposizioni per la tutela del diritto alla buona fama e alla riservatezza' del 1999, integrato e rivisto con la prassi GDPR. Le altre confessioni con Intese (Tavola Valdese, Comunità Ebraiche, ecc.) hanno proprie discipline. Le confessioni senza Intesa applicano direttamente GDPR e Codice Privacy.
Coordinamento con il Garante
Il coordinamento con il Garante è il punto operativo. Per i trattamenti delle confessioni religiose, il Garante è competente in generale, salvo che la confessione abbia propria autorità di controllo riconosciuta (caso non realizzato in Italia). Il Garante ha pubblicato chiarimenti su trattamenti specifici (registri parrocchiali, sacramenti, ex appartenenza). Casi delicati: registro dei battesimi e diritto all'oblio per ex membri.
Regola pratica e checklist operativa
Compliance art. 91: per confessioni: (i) adattamento delle norme proprie al GDPR; (ii) informative ai fedeli; (iii) policy su sacramenti e registri; (iv) gestione dei diritti (oblio bilanciato con tradizione); (v) coordinamento con Garante; (vi) formazione del personale.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: registro battesimi
Tizio, ex fedele, chiede cancellazione dal registro battesimo. Art. 91 + Decreto CEI: prassi è annotazione di uscita, non cancellazione. Garante ha confermato bilanciamento.
Caso 2: Caio: dati di volontari religiosi
Caio, parrocchia, gestisce dati di volontari. Trattamento secondo norme CEI + GDPR. Informativa, consenso ove necessario, retention.
Caso 3: Sempronio: comunità ebraica e iscritti
Sempronio, comunità ebraica, gestisce registro iscritti. Disciplina propria (Intesa) + compatibilità GDPR. Trattamento dati di appartenenza religiosa (categoria particolare art. 9).
Caso 4: Commento applicativo
L'art. 91 è bilanciamento tra autonomia religiosa e tutela dei dati. Decreto CEI è esempio di disciplina propria. Diritto all'oblio frequente fronte di tensione.
Domande frequenti
Le chiese sono soggette al GDPR?
Sì, ma possono continuare ad applicare norme proprie già vigenti al 2016, purché compatibili con il GDPR (par. 1).
Possono avere proprio Garante?
Sì (par. 2), se l'autorità soddisfa le condizioni del Capo VI sull'indipendenza. In Italia non realizzato: Garante nazionale è competente.
Posso chiedere cancellazione dal battesimo?
Prassi della Chiesa Cattolica: annotazione di uscita, non cancellazione del registro. Garante italiano ha confermato bilanciamento tra diritto e tutela della memoria sacramentale.
L'appartenenza religiosa è dato sensibile?
Sì, categoria particolare ex art. 9. Le confessioni la trattano in autonomia per propri membri; per non membri serve consenso esplicito (lett. a) o altra base.
Le confessioni senza Intesa?
Applicano direttamente GDPR e Codice Privacy italiano. Senza disciplina propria precedente al 2016, non possono invocare l'art. 91.
Vedi anche