Promulgato dalla Pontificia Commissione per lo Stato della Città del Vaticano il Regolamento Generale sulla Protezione dei Dati Personali
Responsabilità e trasparenza a tutela delle persone
Forse non tutti sanno che anche in Vaticano i dati personali sono tutelati a norma di legge. Dal 30 aprile 2024, con il Decreto N. DCLVII, la Pontificia Commissione per lo Stato della Città del Vaticano ha promulgato il suo primo Regolamento Generale sulla Protezione dei Dati Personali.
Si tratta di una novità legislativa che è venuta a colmare un'esigenza giuridica per rispondere alle necessità e alle sfide dei nostri tempi, soprattutto, dopo l'avvento dell'era digitale. Il nuovo Regolamento non solo tutela le persone fisiche, ma inserisce lo Stato della Città del Vaticano a pieno titolo tra i Paesi che hanno provveduto a compiere un passo significativo verso la responsabilità e la trasparenza nella gestione dei dati personali.
Le basi normative affondano le radici in alcuni articoli della Legge fondamentale dello Stato della Città del Vaticano del 13 maggio 2023. In particolare, come recita l'articolo 73: “La funzione legislativa, salvi i casi che il Sommo Pontefice intenda riservare a Sé stesso, è esercitata dalla Pontificia Commissione per lo Stato della Città del Vaticano”. E all'articolo 15 comma 1-2 si legge che “Il Presidente della Pontificia Commissione è il Presidente del Governatorato ed esercita la funzione esecutiva in conformità alle leggi e alle altre disposizioni normative”, e si avvale del Governatorato, “i cui organi di governo e organismi concorrono all’esercizio della funzione esecutiva dello Stato, che si esercita negli ambiti previsti dall’art. 4”.
Il nuovo Regolamento trae ispirazione dalla normativa europea in materia di protezione dei dati personali, segnatamente dal General Data Protection Regulation (GDPR) dell’Unione Europea, adottato il 27 aprile 2016 e divenuto operativo dal 25 maggio 2018, ma con significative differenze, in ragione dell’assetto istituzionale dello Stato della Città del Vaticano e della sua natura funzionale all’esercizio del ministero petrino.
Ciò che ha mosso il legislatore vaticano è stata la volontà di proteggere i diritti e le libertà delle persone fisiche in particolare il diritto alla protezione dei dati personali, come si legge all'articolo 1 del Regolamento, dove si stabiliscono: “norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati nel rispetto della dignità umana, dei diritti e delle libertà della persona”.
L'applicazione del Regolamento viene effettuata dal Governatorato, “limitatamente al territorio dello Stato della Città del Vaticano, o per le attività svolte dal Governatorato nelle zone di cui agli articoli 15 e 16 del Trattato Lateranense, in conformità alla Legge sul Governo dello Stato della Città del Vaticano N. CCLXXIV, del 25 novembre 2018 e alla Legge Fondamentale dello Stato della Città del Vaticano, del 13 maggio 2023” (articolo 2 comma 1). Il legislatore vaticano ha previsto anche l'esclusione della sua applicazione nel caso del trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali, purché i dati “non siano destinati a una comunicazione sistemica o alla diffusione” e al trattamento dei dati personali “resi manifestamente pubblici dall’Interessato”, o nelle ipotesi di “anonimizzazione dei dati” (articolo 2 comma 2).
Nel nuovo Regolamento, all'articolo 11 comma 1, si individua il Titolare del trattamento nel Governatorato dello Stato della Città del Vaticano, rappresentato dal Segretario Generale, il quale determina le finalità e le modalità del trattamento stesso. Ciò nell'ottica di permettere anche ai Responsabili del trattamento la possibilità di “individuare misure tecnico organizzative (misure di sicurezza) idonee a garantire la protezione dei dati personali” (articolo 11 comma 2), in conformità al Regolamento stesso. All'articolo 12 si stabilisce chi sono i Responsabili del trattamento. È lo stesso Titolare del trattamento, cioè il Segretario Generale, a individuare nella propria organizzazione, “nell’ambito dei ruoli apicali degli Organismi del Governatorato, i Responsabili del trattamento, che hanno il compito di attuare il presente Regolamento e di operare secondo i principi di cui agli articoli 4 e 5, nominando i Referenti quando previsto dal presente Regolamento” (articolo 12 comma 1). Il Titolare del trattamento e ciascun Responsabile del trattamento, con atto scritto, designano all’interno della propria struttura organizzativa, uno o più Referenti, individuati tra i propri dipendenti, determinando la durata dell’incarico, il contenuto, i doveri e le responsabilità (articolo 13 comma 1).
I Referenti sono le persone fisiche autorizzate a mettere in atto le misure di sicurezza previste dal Regolamento in esame ed individuate nello specifico Registro delle attività di trattamento (articolo 13 comma 2).
Il Regolamento, inoltre, disciplina specifiche procedure, che consentono all’Interessato di esercitare a mezzo di richiesta scritta, con modalità cartacea o elettronica, rivolta al Titolare del trattamento, i diritti di accesso, rettifica, cancellazione, portabilità, opposizione e limitazione del trattamento.
Peraltro, qualora l’Interessato ritenga che il trattamento dei suoi dati violi il Regolamento, “fatto salvo il ricorso all’autorità giudiziaria dello Stato della Città del Vaticano” (articolo 25), ha diritto di proporre reclamo in forma scritta al Responsabile della Protezione dei Dati (RPD), le cui funzioni “sono sempre attribuite al Consigliere Generale dello Stato della Città del Vaticano” (articolo 10 comma 2). Quest’ultimo, agendo in piena indipendenza e autonomia nell'adempimento dei propri compiti e nell'esercizio dei propri poteri (articolo 10 comma 3), è parte fondamentale del complessivo iter procedimentale che, con il preliminare coinvolgimento del Titolare del Trattamento e l’eventuale autonomo ricorso all’autorità giudiziaria vaticana, è finalizzato a garantire il massimo grado di tutela dei diritti dell’Interessato.
Il Decreto N. DCLVII, attesa la peculiarità della materia disciplinata, è stato promulgato dalla Pontificia Commissione per lo Stato della Città del Vaticano ad experimentum, per un triennio.
Il percorso storico tra privacy e protezione dei dati
Per comprendere come il legislatore sia arrivato ai nostri giorni alla stesura del Regolamento si deve fare un salto indietro nel tempo e nello spazio, esattamente alla fine del XIX secolo, negli Stati Uniti d'America. È allora che si possono rintracciare i primi accenni alla privacy come a un diritto. I primi a trattare la materia furono due avvocati di Boston, la più europea delle città statunitensi: Samuel Warren e Louis Brandeis. I due legali, il 15 dicembre 1890, pubblicarono sulla rivista Harvard Law Review un articolo dal titolo The right to privacy. Invocavano il riconoscimento del “valore giuridico della sensibilità umana”, e teorizzavano “the right to be let alone”. A quel tempo, il mezzo di comunicazione per eccellenza era il giornale, espressione della stampa, nel quale trovavano ampio spazio le fotografie. Ciò che spinse i due legali a scrivere l'articolo fu l'invadenza di molti giornali che pubblicavano foto di eventi mondani ai quali partecipavano esponenti dell'alta borghesia e della politica del tempo.
Ancora non si parlava dell'invadenza della tecnologia e delle potenzialità della comunicazione sociale, perché a disposizione vi erano solo le macchine fotografiche e i giornali. Tuttavia, tanto bastava per diffondere capillarmente le immagini delle persone e intromettersi nelle loro vite private. Passarono i decenni e, al termine della seconda guerra mondiale, la sensibilizzazione verso la privacy e la tutela della sfera privata giunse anche in Europa. Con una particolarità rispetto agli Stati Uniti d'America: l'obiettivo non fu più quello di mettere un freno all'invadenza dei privati, come alcuni organi di stampa o le aziende, ma di tutelarsi dall'intromissione dello Stato. Era evidente il ricordo dei regimi totalitari appena crollati e alcuni ancora in piena salute, per cui la priorità del legislatore fu tutelare l'ambito privato. Si giunse così alla stesura dell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950, nella quale si sanciva il diritto al rispetto della vita privata. Cambiarono i tempi e con l'avvento dell'informatica e della sua diffusione a livello sempre più popolare, nel 1981, il Consiglio d’Europa intervenne con la Convenzione 108, conosciuta anche come Convenzione di Strasburgo. Si tratta di uno dei più importanti strumenti legali per la protezione delle persone rispetto al trattamento automatizzato dei dati personali. Altro passo venne compiuto con la direttiva 95/46 del Parlamento e del Consiglio d'Europa, con lo scopo di armonizzare le norme in materia di protezione dei dati personali per garantire un "flusso libero" dei dati e promuovere un elevato livello di tutela dei diritti fondamentali dei cittadini. Questa direttiva è stata, senza dubbio, lo strumento giuridico fondamentale dell'Unione Europea in materia di protezione dei dati fino al 2018, quando entrò in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR).