Sommario: 1. Premesse per un inquadramento sistematico. – 2. Protezione dei dati personali e confessioni religiose nell’esperienza italiana. 3. La disciplina del Regolamento UE 2016/679, fra continuità e innovazione: a) il trattamento dei dati sensibili da parte di enti e organismi religiosi (art. 9, par. 2, lett. d) – 4. (segue) b) I corpus normativi delle Chiese (art. 91). 5. Le soluzioni adottate nel Decreto della Conferenza episcopale italiana del 25 maggio 2018, nella prospettiva della necessaria armonizzazione fra protezione dei dati, libertà religiosa e autonomia confessionale.

1. Nell’odierna “società dell’informazione”[1] lo sviluppo della normativa in materia di protezione dei dati personali coinvolge anche soggetti e attività per lungo tempo rimasti estranei o considerati remoti rispetto a un simile ambito settoriale. E’ questo il caso delle Chiese e associazioni o comunità religiose, che a partire dalla metà degli anni ’90 sono state interessate in misura crescente dagli interventi dell’Unione europea e del legislatore nazionale che hanno progressivamente (ri)definito perimetro e contenuti della privacy[2], portando dalla rivendicazione del diritto a “essere lasciato solo” all’attuale sistema di protezione dei dati personali.
Questa linea di tendenza trova ulteriore conferma nel Regolamento UE 2016/679[3], nel quale l’elemento religioso assume rilievo specifico in alcune disposizioni che, ove riferite all’esperienza italiana e collocate in una prospettiva sistemica, appaiono di notevole interesse e complessità, sia sul piano teorico e istituzionale sia sul piano applicativo.
La nuova disciplina infatti, per la sua pervasività, appare suscettibile di incidere significativamente anche sull’attività degli enti ecclesiastici e in ultima analisi sulla condizione giuridica delle Chiese, facendo avvertire l’esigenza, e la difficoltà, di armonizzare tale disciplina con la specialità di regime degli enti ecclesiastici,  con il diritto alla libertà religiosa inteso nella sua dimensione non solo individuale ma anche istituzionale e con le prerogative di indipendenza e autonomia delle Chiese, quali garantiti a livello costituzionale e pattizio.
Si tratta peraltro di un’armonizzazione necessaria, tanto più dopo che l’Unione europea si è impegnata, al livello più alto della gerarchia delle fonti e con una formula vincolante di notevole portata programmatica, a rispettare e non pregiudicare lo status di cui godono le Chiese e le associazioni e comunità religiose nei Paesi membri secondo le rispettive legislazioni nazionali (art. 17, par. 1, TFUE)[4].   
In questa prospettiva, le disposizioni che appaiono di maggiore interesse sono contenute, oltre che in alcune enunciazioni premissive (cfr. in particolare i Considerando n. 4 e 165), nell’art. 9, par. 2, lett. d) e soprattutto nell’art. 91 del Regolamento, che, rispettivamente, disciplinano il trattamento  dei dati sensibili da parte (anche) di enti e organismi con finalità religiosa e prevedono la possibilità di continuare ad applicare i corpus normativi eventualmente predisposti dalle Chiese e associazioni o comunità religiose.
Queste disposizioni, se in parte introducono rilevanti elementi di novità – in particolare nell’art. 91 – per altra parte tengono ampiamente conto dell’evoluzione normativa intervenuta negli ultimi due decenni.
 
2. Nell’esperienza italiana tale evoluzione, originata dalla Direttiva 95/46/CE, si è sviluppata in ambito statuale a partire dalla legge n. 675 del 31 dicembre 1996, che, riguardo al trattamento dei c.d. dati sensibili, fra i quali rientrano quelli idonei a rivelare le convinzioni religiose e l’adesione a organizzazioni a carattere religioso, stabiliva la possibilità del trattamento "solo con il consenso scritto dell’interessato e previa autorizzazione del Garante" (art. 22).
Nel successivo assestamento normativo, sviluppatosi coerentemente con l’approccio costituzionale del bilanciamento degli interessi e con la prospettiva relazionale e dialettica indicata fin dalle prime disposizioni della citata legge n. 675/1996, numerose integrazioni del testo hanno ponderato la protezione dei diritti della personalità, fra cui quello alla riservatezza, con altre esigenze, quali gli interessi pubblici e le libertà fondamentali, fra cui la libertà religiosa.
In quest’ottica, la disciplina dei dati sensibili è stata modificata dapprima con l’art. 5 del D.lgs. 11 maggio 1999, n. 135, che ha introdotto l’art. 22, comma 1-bis. In base a tale disposizione, per le  confessioni religiose i cui rapporti con lo Stato sono regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione[5], l’obbligo del rispetto della disciplina rafforzata (consenso scritto dell’interessato e autorizzazione del Garante) prevista per il trattamento dei dati sensibili veniva escluso in presenza di alcune condizioni espressamente indicate. In particolare, il trattamento doveva riguardare i dati relativi agli aderenti delle confessioni religiose nonché i soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni ed essere effettuato dai relativi organi o enti civilmente riconosciuti, “sempre che i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati”.
La modifica così introdotta riequilibrava il sistema. La rinuncia ad estendere la normativa statuale all’ambito interno delle confessioni religiose per un verso appariva “conferma dell’aspirazione ‘relazionale’ che anima la legge e la rivela attenta ad esigenze alternative rispetto a quelle assunte ad oggetto specifico della sua tutela” e, per altro verso, faceva emergere “una sensibilità nuova, quanto apprezzabile, per la primigenia autonomia riconosciuta dalla Costituzione al fattore religioso”[6].
Questa impostazione trovava conferma nella disciplina prevista dal Codice in materia di protezione dei dati personali (d. lgs. 196/2003), che peraltro non mancava di introdurre alcune importanti novità.
Per il trattamento dei dati personali comuni effettuato dagli enti religiosi si stabiliva l’applicabilità della disciplina generale prevista dall’art. 24, comma 1, lett. h) per gli enti senza scopo di lucro.  In base a tale disciplina, non era necessario il consenso del titolare dei dati nel caso di trattamenti effettuati, con esclusione della comunicazione all’esterno e della diffusione,  da parte di associazioni, enti ed organismi senza scopo di lucro, anche se non riconosciuti, “in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’art. 13”.
Riguardo invece al trattamento dei dati sensibili effettuato dalle confessioni religiose e, più precisamente, “dai relativi organi, ovvero da enti civilmente riconosciuti”, l’art. 26, comma 3, lett. a) del Codice stabiliva che la disciplina rafforzata prevista in via generale dal primo comma dello stesso articolo non si applicasse al trattamento dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa “hanno contatti regolari con le medesime confessioni, & sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante”.
Una tale formulazione, piuttosto generica nel ricorso a locuzioni quali ad esempio “contatti regolari” ovvero dati diffusi o comunicati “fuori” delle confessioni, risultava innovativa laddove prevedeva che le idonee garanzie dovessero essere determinate dalle confessioni religiose “nel rispetto dei principi indicati al riguardo con autorizzazione del Garante”[7].
Questa disposizione ha suscitato qualche perplessità[8], non solo perché eccedente rispetto alle esigenze di coordinamento indicate dalla legge delega, ma anche (e soprattutto) perché suscettibile di alterare l’equilibrio raggiunto nella precedente formulazione riguardo alla disciplina applicabile al trattamento dei dati sensibili di natura religiosa, con il rischio di limitare così la libertà e l’autonomia delle confessioni religiose.
Peraltro anche tale previsione doveva essere interpretata alla luce della norma di chiusura del sistema contenuta nell’art.181, comma 6 del Codice, secondo cui le confessioni religiose che, prima dell’adozione del Codice, abbiano “determinato e adottato nell’ambito del rispettivo ordinamento le garanzie di cui all’articolo 26, comma 3, lettera a) possono proseguire l’attività di trattamento nel rispetto delle medesime”. Questa disposizione non operava un rinvio fisso alle norme di matrice confessionale bensì un riconoscimento delle “garanzie” eventualmente determinate da parte delle confessioni religiose (e quindi anche di eventuali successive modifiche) che, lungi dal creare un’area di immunità ingiustificata, pareva piuttosto determinato dalla necessità di tenere conto della peculiare condizione riconosciuta a tali soggetti nel nostro ordinamento.  
In tale prospettiva, è stato osservato che mediante la normativa prevista dal combinato disposto degli articoli 26, comma 3, lett. a) e 181, comma 6 del nuovo Codice l’ordinamento statuale ha inteso ritrarsi da ogni forma di controllo  preventivo dell’attività di trattamento dei dati svolta dalle confessioni religiose, che potrebbe comprimere l’autonomia istituzionale delle confessioni medesime. Ad esse viene delegato il compito di “stabilire regole di tutela preventiva dell’interessato nonché forme di corretto esercizio del trattamento”[9], restando comunque affidato allo Stato il compito di verificare il rispetto dei diritti inviolabili della persona alla luce dei principi cardine della disciplina introdotta dal nuovo Codice[10].
 
3. Rispetto a questa evoluzione, il nuovo Regolamento UE introduce una disciplina a cavallo fra continuità e innovazione, non priva di nodi problematici che occorre sciogliere in via interpretativa.
Riguardo ai dati sensibili, il divieto di trattamento stabilito come regola generale dall’art. 9 non esclude alcune eccezioni, che interessano anche gli enti e organismi con finalità religiose ove sussistano determinate condizioni. In particolare, è necessario che il trattamento di dati effettuato da uno di tali soggetti avvenga “nell’ambito delle sue legittime attività…” e “…con adeguate garanzie’; che tale trattamento riguardi “unicamente i membri, gli ex membri o le persone che hanno regolari con esse a motivo delle sue finalità”; che i dati personali “non siano comunicati all’esterno senza il consenso dell’interessato”‘. In presenza di tali condizioni, ovvero quando l’individuo abbia fornito il proprio consenso, il trattamento dei dati sensibili è lecito (art. 9, n.  2, lett. d). )[11].
Questa previsione ricalca quella già contenuta nell’art. 8 della Direttiva 95/46/CE[12] e nella prima parte dell’art. 26, comma 3, lett. a) del Codice della privacy, con la  novità dell’inclusione anche degli ex membri fra i soggetti dei quali è consentito il trattamento dei dati ove ricorrano le condizioni appena richiamate.
Si tratta di una novità rilevante e positiva, se si considera che, non applicandosi il Regolamento alle persone decedute[13], gli “ex membri” devono essere identificati con quanti hanno scelto di non essere più parte degli enti menzionati nell’art. 9, n. 2, lett. d), ossia, per quanto qui più specificamente interessa, di una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità religiose. In base a tale previsione, dovrebbero essere evitate interpretazioni del diritto di cancellazione (art. 17) e del diritto di opposizione (art. 21) che risulterebbero in contrasto con l’autonomia delle confessioni religiose e lo svolgimento di alcune loro funzioni istituzionali (si pensi ad esempio alla tenuta dei registri di battesimo[14], o di cresima),  oltre che con esigenze di memoria storica che è interesse di tutti salvaguardare[15].
Esclusa la novità relativa agli ex membri, per il resto risulta confermata l’impostazione che riconduce al diritto comune il trattamento  dei dati effettuato dagli enti e organismi con finalità religiosa[16], fatta salva la presenza, peraltro solo eventuale, dei corpus normativi predisposti dalle Chiese di cui al successivo art. 91 e nei limiti della portata ad essi riconosciuta.
 
4. In base a quest’ultima disposizione, qualora in uno Stato membro Chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del Regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, questi corpus “possono continuare ad applicarsi purché siano resi conformi al presente regolamento” (par. 1). Le Chiese e le associazioni religiose che applicano tali corpus “sono soggette al controllo di un’autorità di controllo indipendente che può essere specifica, purché soddisfi le condizioni di cui al capo VI del presente regolamento” (par. 2).
Tale formulazione sembra riflettere, da un lato, la volontà di riconoscere un qualche margine di autonomia alle Chiese e associazioni o comunità religiose,  nella consapevolezza della peculiare natura di tali soggetti e (comunque) dell’obbligo per l’Unione europea di rispettarne lo status previsto dalle legislazioni nazionali, obbligo derivante dall’art. 17, n. 1 TFUE, significativamente richiamato dal Considerando n. 165 dello stesso Regolamento. Dall’altro lato, la volontà di circoscrivere rigorosamente i margini di tale autonomia e riaffermare un generale principio di assoggettamento alla disciplina eurounitaria in materia di protezione dei dati personali.
Ne deriva un testo che appare frutto di una maturazione non sempre lineare, nel quale la ricerca di un bilanciamento risente della fatica del compromesso e mostra la difficoltà di trovare un reale punto di equilibrio. Emergono contraddizioni in parte ancora irrisolte, che in sede di interpretazione e attuazione potrebbero portare a forzature di segno unilaterale, o fortemente restrittive della libertà e autonomia delle Chiese, ridotte a dover replicare la disciplina regolamentare nei corpus normativi eventualmente elaborati e a subire  poteri di controllo difficilmente compatibili con soggetti e attività istituzionali; o, al contrario, fortemente riduttive rispetto alle esigenze di protezione dei dati personali che sono alla base del nuovo Regolamento.
Ricostruzioni di questo genere, fondate sulla pretesa superiorità assiologica di taluni diritti fondamentali rispetto ad altri diritti (egualmente fondamentali), finirebbero per riflettere più l’ideologia dell’interprete  che le scelte  effettivamente operate dal legislatore, per enfatizzare alcune antinomie piuttosto che risolverle.
Per evitare simili rischi, nell’interpretazione dell’art. 91, n. 1 si potrebbe (dovrebbe) ritenere che per soddisfare il requisito della “completezza” non è richiesta alla normativa di matrice confessionale una pedissequa identità di disciplina, ma è sufficiente che tale normativa sia organica e contenga tutte le previsioni che, in base al Regolamento, appaiano necessarie rispetto alla specificità del trattamento dei dati effettuato dalle Chiese.
Considerazioni analoghe possono valere anche in ordine all’ulteriore requisito della “conformità”, o più precisamente dell’obbligo di conformazione della normativa confessionale al Regolamento.
Qualora l’esigenza di conformità (rectius conformazione) venisse interpretata in senso restrittivo, ossia quale sinonimo di identità, le Chiese sarebbero infatti tenute a recepire in modo pressoché integrale le disposizioni contenute nel Regolamento e la possibilità di applicare il proprio corpus risulterebbe una sorta di “concessione” solo retorica, priva di effetti sostanziali. Tale esigenza invece, anche in presenza di eventuali “disallineamenti” fra le rispettive discipline, può essere adeguatamente realizzata secondo canoni di ragionevolezza interpretando il requisito della “conformità” come congruità, sostanziale coerenza  delle norme confessionali rispetto ai valori e principi fondamentali dello stesso Regolamento[17]. 
In quest’ottica si potrebbe ritenere, in via di prima esemplificazione, che i corpus normativi delle Chiese, per risultare completi o essere resi conformi, non debbano necessariamente prevedere o introdurre disposizioni del Regolamento relative ad aspetti quali ad esempio la cosiddetta profilazione o la portabilità,  mentre è necessario che prevedano o introducano disposizioni adeguate in materia di liceità del trattamento, informativa dell’interessato, conservazione dei dati.
Nell’applicazione dei propri corpus normativi, completi e conformati nei termini anzidetti, è previsto (art. 91, n. 2) che le Chiese e le associazioni o comunità religiose siano soggette al controllo di un’autorità indipendente, che può essere “specifica”, purché soddisfi le condizioni di indipendenza e competenza e sia in grado di esercitare i compiti e i poteri previsti dal capo VI del Regolamento.
Tenuto conto della natura di tali condizioni e della portata di tali poteri, assai penetranti, questa formulazione – che andava coordinata meglio rispetto alla previsione contenuta nel par. 1 dello stesso art. 91 – finisce per confermare l’interrogativo di fondo che emerge dalla lettura del nuovo Regolamento, se cioè la disciplina introdotta dall’art. 91 consenta un effettivo rispetto non solo della libertà religiosa (nella sua dimensione individuale e istituzionale) ma anche dell’indipendenza, della libertà e dell’autonomia delle Chiese[18], quale garantita in Italia a livello costituzionale e pattizio e riaffermata nell’Unione europea per effetto del principio generale di cui al più volte richiamato art. 17, n. 1 TFUE[19].
 
5. Questo interrogativo non può trovare risposta nel D.lgs. n. 101 del 10 agosto 2018, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679[20], che si limita ad abrogare le disposizioni del Codice della privacy di interesse per le Chiese e gli enti ecclesiastici già esaminate[21].
Qualche utile spunto di riflessione può ricavarsi invece dalla lettura del Decreto generale della Conferenza episcopale italiana recante “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”[22], approvato dalla 71ª Assemblea Generale  per aggiornare la normativa canonica particolare[23] ai fini della “conformazione” richiesta dall’art. 91, n. 1 del Regolamento UE.
Le enunciazioni di maggiore interesse (nell’economia del presente contributo) sono contenute nelle premesse e nell’art. 22 del Decreto.
Le premesse chiariscono i presupposti e offrono il quadro di riferimento nel quale si colloca l’intervento del legislatore canonico, (ri)affermando i valori e i principi imprescindibili per la Chiesa (anche) nella disciplina di questo specifico ambito settoriale. In quest’ottica non sorprende, anzi pare necessitata la scelta di mantenere ferme tutte le formule premissive già contenute nel Decreto CEI  del 1999, con una sola rilevante novità, inserita, come subito vedremo, fra i “considerando” iniziali.
Viene così richiamato anzitutto il diritto della persona alla buona fama e alla riservatezza garantito nell’ordinamento ecclesiale dal can. 220 del Codice del 1983[24], riconoscendosi l’opportunità di introdurre una sua più articolata regolamentazione e assumendo quale finalità della normativa canonica particolare quella di garantire che il trattamento dei dati personali relativi ai fedeli, agli enti ecclesiastici, alle aggregazioni ecclesiali nonché alle persone che entrano in contatto con i medesimi soggetti si svolga nel pieno rispetto di tale diritto[25]. Subito dopo viene enunciato un principio di fondo che assume valore centrale nell’economia del Decreto, secondo cui “la Chiesa cattolica, ordinamento giuridico indipendente e autonomo nel proprio ordine, ha il diritto nativo e proprio di acquisire, conservare e utilizzare per i suoi fini istituzionali i dati &”. In quest’ottica, si precisa che “nulla è innovato” circa la vigente normativa canonica, in special modo per quanto riguarda la celebrazione del matrimonio canonico, lo svolgimento dei processi, la procedura per la dispensa pontificia super rato et non consumato, le disposizioni circa il segreto naturale, d’ufficio e ministeriale e la tenuta degli archivi ecclesiastici. Mantengono altresì “pieno vigore” le disposizioni di natura pattizia per tutta una serie di materie e di ambiti espressamente richiamati, che vanno dalla celebrazione del matrimonio canonico con effetti civili alla delibazione delle sentenze canoniche di nullità matrimoniale, dalle sentenze e provvedimenti circa persone ecclesiastiche o religiose e concernenti materie spirituali o disciplinari emanati da autorità ecclesiastiche e ufficialmente comunicati alle autorità civili fino all’attività istituzionale dell’Istituto Centrale e degli Istituti diocesani per il sostentamento del clero e all’azione svolta da questi e dalla Conferenza Episcopale Italiana per la promozione delle erogazioni liberali. Analogamente, “hanno valore in Italia” le disposizioni di diritto particolare della CEI, con particolare riguardo al sacramento del matrimonio e all’annotazione del battesimo dei figli adottivi. Questo puntuale richiamo della normativa canonica, costituzionale e pattizia  viene rafforzato con l’introduzione di un ulteriore richiamo della normativa eurounitaria e in particolare dell’art. 17 TFUE, n. 1, che rappresenta una novità utile per favorire una corretta interpretazione e applicazione del nuovo Decreto CEI.
Le principali questioni potranno riguardare la natura e le funzioni della cosiddetta autorità di controllo. La soluzione adottata al riguardo nell’art. 22 del Decreto CEI, che si limita a riprendere la formula utilizzata nell’art. 91, n. 2 del Regolamento UE, risulta improntata a un prudente realismo. Si tratta infatti di una soluzione aperta, che non avalla né tantomeno rafforza ipotesi di ingiustificato assoggettamento delle Chiese al diritto dell’Unione e, al tempo stesso, evita fughe in avanti della normativa canonica particolare rispetto a un quadro di evoluzione ancora tutto da definire. Al riguardo, pur con le incertezze derivanti dalla genericità della formula utilizzata dal Regolamento[26], in base ai consueti canoni di interpretazione letterale e sistematica sembra doversi ritenere che l’Autorità di controllo a) non possa essere istituita o collegata ad una confessione religiosa, ma sia stata prevista e disciplinata dal legislatore dell’Unione europea come autorità pubblica, cioè statuale; b) in teoria potrebbe essere “specifica”, quindi diversa e peculiare, rispetto al Garante per la protezione dei dati personali istituito a livello nazionale. Tuttavia, occorre domandarsi se in pratica l’eventuale duplicazione delle strutture non comporti il rischio di una frammentazione di indirizzi e di una dispersione di dati e competenze non necessaria.
Rispetto a questi aspetti, e più in generale a una disciplina che si segnala per la sua novità e complessità, potrebbe risultare opportuno attivare qualche forma di collaborazione fra Stato e Chiese, che, fermi restando i rispettivi ambiti di autonomia e competenze, possa favorire soluzioni interpretative e prassi attuative quanto più possibile condivise, attente ai profili teorici e istituzionali e insieme capaci di un consapevole pragmatismo.
La scelta della collaborazione e del dialogo – sviluppata sul presupposto della necessaria coesistenza e armonizzazione fra ordinamenti, piuttosto che sulla enfatizzazione delle antinomie o sulla ricerca di opinabili prevalenze – trova solido fondamento nella disciplina di rango primario che regola i rapporti fra Stato e Chiese a livelli sia nazionale sia europeo.
Nell’esperienza italiana, si darebbe ulteriore attuazione e sviluppo a  quella “regola della bilateralità”[27] che l’art. 13, comma 2 dell’Accordo fra Repubblica italiana e Santa Sede del 18 febbraio 1984 (L. 121/1985) indica come principio guida per la disciplina delle fattispecie, necessariamente non delimitabili a priori, in cui venga a trovarsi  coinvolto il sentimento religioso dei cittadini-fedeli[28].
A livello europeo, si darebbe ulteriore attuazione e sviluppo alla possibilità di dialogo strutturato fra l’Unione europea e le Chiese prevista dall’art. 17, n. 3 TFUE, che se da un lato non consente l’identificazione del dialogo con una sorta di impropria “contrattazione” su materie estranee rispetto agli ambiti di interesse delle Chiese[29], dall’altro sembra egualmente escludere ogni rigida delimitazione a priori degli ambiti tematici che ne possono formare oggetto[30]. La previsione di un dialogo aperto, trasparente e regolare, significativamente fondata sul riconoscimento dell’identità e del contributo specifico delle Chiese e associazioni e comunità religiose, apre infatti nuove e rilevanti prospettive per gli sviluppi del rapporto fra tali soggetti e l’Unione europea[31], alimentate dalla comune aspirazione che l’Europa unita abbia il suo più sicuro presidio nel riconoscimento del valore unico e irriducibile della persona umana e della sua dignità. 
 
 

Note

L'articolo Impatto del Regolamento Europeo di protezione dei dati personali per la Chiesa. Prime soluzioni nei Decreti generali delle Conferenze episcopali: l’esperienza italiana proviene da Giustamm.