A giudizio della Corte di giustizia dell’Unione europea, una comunità religiosa è responsabile, congiuntamente ai suoi “predicatori”, del trattamento dei dati personali raccolti nell’ambito dell’attività di predicazione porta a porta.

Il diritto dell’Unione in materia di protezione dei dati personali consente di considerare una comunità religiosa, congiuntamente ai suoi membri predicatori, responsabile del trattamento dei dati personali, effettuato da questi ultimi nell’ambito di un’attività di predicazione porta a porta, organizzata e coordinata da tale comunità. Neppure necessita che detta comunità abbia accesso a tali dati o che si debba dimostrare che essa ha fornito ai propri membri istruzioni scritte o incarichi relativamente ai trattamenti.

Per approfondimenti consulta Nuovo regolamento europeo GDPR

I membri di una comunità religiosa, nell’ambito della loro attività di predicazione porta a porta, prendono appunti sulle visite effettuate a persone che né essi, né la comunità conoscono. I dati raccolti possono comprendere il nome e l’indirizzo delle persone contattate porta a porta e informazioni sul loro credo religioso e sulla loro situazione familiare. Essi sono raccolti a titolo di promemoria, per poter essere consultati ai fini di un’eventuale visita successiva, senza che le persone interessate vi abbiano acconsentito o ne siano state informate.

Le congregazioni organizzano e coordinano l’attività di predicazione porta a porta dei loro membri, predisponendo mappe sulla cui base è realizzata una ripartizione in zone tra i membri predicatori. Le congregazioni gestiscono inoltre, elenchi delle persone che hanno espresso la volontà di non ricevere più visite da parte dei membri predicatori. I dati personali che figurano in tali mappe, elenchi, schedari sono poi utilizzati dai membri della comunità.

Nella sentenza della Corte di Giustizia causa UE C-25/17 pronunciata e pubblicata il 10 luglio 2018, la Corte di giustizia considera anzitutto che l’attività di predicazione porta a porta dei membri delle comunità religiose non rientra tra le eccezioni previste dal diritto dell’Unione in materia di protezione dei dati personali. In particolare, la circostanza che l’attività di predicazione porta a porta sia tutelata dal diritto fondamentale alla libertà di coscienza e di religione, sancito all’articolo 10, paragrafo 1, della Carta dei diritti fondamentali dell’UE, non ha l’effetto di conferirle un carattere esclusivamente personale e domestico, poiché essa va oltre la sfera privata di un membro predicatore di una comunità religiosa.

La Corte precisa che la nozione di “archivio” include ogni insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta e contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, dal momento che tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. I trattamenti di dati personali effettuati nell’ambito dell’attività di predicazione porta a porta devono quindi rispettare le norme del diritto dell’Unione in materia di protezione dei dati personali.

Riguardo alla questione di chi possa essere considerato responsabile del trattamento dei dati personali, la Corte ricorda che la nozione di “responsabile del trattamento” può riguardare più soggetti che partecipano al trattamento, ognuno dei quali deve essere pertanto assoggettato alle norme del diritto dell’Unione in materia di protezione dei dati personali. Tali soggetti possono essere coinvolti in fasi diverse del trattamento e a diversi livelli, cosicché il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

La Corte constata altresì che nessuna disposizione del diritto dell’Unione consente di ritenere che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del responsabile del trattamento. Può essere invece considerata responsabile del trattamento una persona fisica o giuridica che, a scopi che le sono propri, influisca sul trattamento dei dati personali e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento. Inoltre, la responsabilità congiunta di vari soggetti non presuppone che ciascuno di essi abbia accesso ai dati personali. Tale precipitato logico-giuridico non è infine confliggente col c.d. principio dell’autonomia organizzativa delle comunità religiose, sancito all’articolo 17 del Trattato sul Funzionamento dell’UE, poiché l’obbligo di ogni persona di conformarsi alle norme del diritto dell’Unione relative alla protezione dei dati personali, non può essere ritenuta un’ingerenza nell’autonomia organizzativa di dette comunità (cfr., per analogia, sentenza del 17 aprile 2018, Egenberger, C‑414/16, EU:C:2018:257, punto 58).

Per approfondimenti consigliamo:

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data tutti...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Scrivi il tuo commento!
Inserisci il tuo nome