Vademecum privacy Centri di ascolto

La tutela della Privacy nei Centri di Ascolto

La sicurezza dei dati personali è regolata:

  • dalla normativa europea (Regolamento UE 2019/679, noto anche come GDPR – General Data

    Protection Regulation);

  • dalla legge italiana (D.Lgs 196/2003 emendato dal D.Lgs 101/2018);
  • per quanto riguarda gli enti di diritto ecclesiastico, dal Decreto Generale della Conferenza Episcopale

    Italiana del 24/5/2018
    L’insieme di queste norme intende garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
    Il Centro di Ascolto deve quindi utilizzare i dati personali delle persone che ad esso si rivolgono con grande attenzione: in particolare essi devono essere trattati in modo

    • corretto (evitando di sfruttare i dati ricevuti),
    • lecito (utilizzandoli solo per assistere la persona bisognosa e assicurare gli aiuti che saranno

      proposti),

    • trasparente (permettendo all’’interessato di poter sempre conoscere quali dei suoi dati sono trattati

      dal Centro di Ascolto).

1. I soggetti

Il “Titolare del trattamento”
La parrocchia o l’associazione formalmente costituita per la gestione delle attività di Centro di Ascolto. Pertanto la persona fisica che ha l’obbligo di osservare e far osservare la normativa sulla Privacy è il legale rappresentante, cioè:

  1. se il Centro di Ascolto è parrocchiale, il Parroco o l’Amministratore Parrocchiale;
  2. se il Centro di Ascolto è interparrocchiale, il Parroco o l’Amministratore Parrocchiale della parrocchia

    presso cui il Centro di Ascolto ha sede;

  3. se il Centro di Ascolto è una Associazione, il Presidente della Associazione.

L’ “Autorizzato al trattamento”
È colui che compie materialmente le operazioni relative ai dati acquisiti, attenendosi alle istruzioni impartite dal titolare o dal responsabile.
Tutti i collaboratori del Centro di Ascolto per poter svolgere il loro servizio devono essere previamente incaricati, con lettera scritta, dal Titolare del trattamento (Parroco, o Presidente della Associazione) (vedi allegato 1).

L’ “Interessato”
È colui a cui i dati si riferiscono. E’ importantissimo tener presente che solo l’interessato può conferire i propri dati al Centro di Ascolto.
Pertanto:

1. la scheda personale può essere compilata solo se vi è la presenza fisica del soggetto interessato e dopo che gli è stata presentata l’informativa e ha firmato il consenso;

Quanto di seguito sarà esposto deve ritenersi applicabile solo alla precisa ipotesi di Centro di Ascolto parrocchiale, interparrocchiale o facente capo ad una associazione gestito in conformità alle indicazioni date dalla Caritas Diocesana.
Per attività diverse da quelle di Centro di Ascolto svolte dalla parrocchia, rilevanti ai fini della tutela della Privacy, è necessario rivolgersi ai competenti Uffici di Curia.

2. qualora sia un parente a rivolgersi al Centro di Ascolto, la scheda personale deve essere intestata a questi. Nella sezione della scheda dedicata alle note si può fare menzione anche di notizie riguardanti terze persone (ad esempio: il figlio, il coniuge che sono coinvolti nella problematica). Comunque tutto il contenuto della scheda personale che riguarda terze persone non può essere assolutamente comunicato o comunque diffuso.

2. Informativa e Consenso.

Il Centro di Ascolto deve fornire all’interessato una adeguata informativa, in merito alle finalità per cui i dati sono raccolti, alle modalità di trattamento, a chi avrà accesso a tali dati, se vengono comunicati a terzi, ecc… Il consenso della persona interessata è sempre necessario, e il Centro di Ascolto deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Il consenso scritto appare quindi, nella generalità dei casi, la soluzione preferibile.

Pertanto, prima di compilare la Scheda personale, occorre sottoporre all’Interessato l’informativa riportata come allegato 2 e farla sottoscrivere per accettazione del trattamento di dati; una copia sarà conservata unitamente alla Scheda personale e l’altra copia sarà consegnata all’Interessato. Solo dopo aver ottenuto il consenso, il collaboratore del Centro potrà procedere alla compilazione della Scheda personale, secondo il modello predisposto dalla Caritas Diocesana. Questa Scheda, con quanto allegato, deve essere custodita con grande attenzione, per impedire che chi non è autorizzato possa leggerne e/o diffonderne il contenuto.

Va altresì tenuto presente che se il Centro d’Ascolto è collegato in rete con il sistema OSCAR Web, i dati immessi nel sistema sono immediatamente visionabili dagli Uffici autorizzati della Caritas Ambrosiana, che è a sua volta Titolare del trattamento dei dati immessi nel sistema. Questa informazione è contenuta nella informativa presente nell’allegato 2, e il consenso prestato al Centro d’Ascolto s’intende esteso anche alla Caritas Ambrosiana.

3. Diritti dell’Interessato.

L’Interessato ha sempre diritto di chiedere al Centro d’Ascolto di accedere ai suoi dati, nonché di chiedere di integrarli, correggerli, cancellarli o opporsi al loro trattamento da parte del Centro di Ascolto: a tal fine è necessario fornire nell’informativa un indirizzo al qual potersi rivolgere per esercitare tali diritti. E’ quindi necessario completare il modello allegato 2 con una intestazione contenente tutti i dati rilevanti a identificare il Titolare del Trattamento.

Se l’Interessato vuole essere rimosso anche dal sistema OSCAR Web dovrà farne richiesta alla Caritas Ambrosiana.

4. Misure di sicurezza.

Il Titolare del trattamento deve garantire che i dati acquisiti siano protetti da ogni indebito accesso da parte di chiunque non sia autorizzato e dai rischi di perdita o distruzione.

  1. a)  Se sono dati trattati senza l’ausilio di strumenti elettronici (cioè le semplici schede personali e elenchi dattiloscritti) occorrerà evitare che i documenti siano accessibili a persone non autorizzate: dovranno quindi essere conservati in armadi o cassetti chiusi a chiave, e non lasciati incustoditi sulla scrivania.
  2. b)  Se sono dati trattati con l’ausilio di strumenti elettronici
    • l’accesso ai dati informatici deve essere tutelato, oltre che dalla sicurezza del luogo in cui è

      conservato il supporto hardware (computer/server), anche da una chiave informatica di

      accesso (password),

    • gli incaricati hanno l’obbligo di adottare le necessarie cautele per assicurare la segretezza

      delle loro credenziali di accesso;

    • Misure tecniche adeguate devono permettere il salvataggio almeno settimanale dei dati e il

      ripristino dei dati in caso di danneggiamento degli stessi

5. Domande/Risposte.
A titolo esemplificativo riportiamo alcune domande che immaginiamo possano sorgere:

D.: Se l’Incaricato del Centro di Ascolto non raccoglie il Consenso scritto dell’interessato, cosa succede?

R.: I dati eventualmente raccolti sono acquisiti in modo illegittimo, di conseguenza essi non possono essere utilizzati; in caso contrario si rischiano sanzioni (economiche e panali) a carico del Titolare.

D.: Se una persona si rivolge al Centro di Ascolto per chiedere un intervento a favore di un familiare non presente, si possono raccogliere i dati del familiare non presente facendo firmare il consenso a chi si è presentato al Centro di ascolto?

R.: No.
Si può però aprire una scheda intestata a colui che si presenta e raccogliere succintamente il suo racconto.
Fanno eccezione i minori e le persone incapaci di intendere e volere per i quali la scheda è intestata al minore/incapace ma deve essere e firmata dal genitore/tutore.

D.: Se l’intervento del Centro di Ascolto comporta il contatto con Comuni, strutture di accoglienza… come è possibile agire nel rispetto della Normativa in materia di Privacy?

R.: L’Informativa specifica che i dati sono utilizzati dalla parrocchia solo per assicurare all’Interessato gli aiuti e i servizi che saranno di volta in volta concordati. Ciò comprende anche la possibilità di trasmettere i dati ad alcuni soggetti pubblici (p. es.: Comune) o privati (avvocati, medico, familiari). Sarà poi comunque cura dell’Ente esterno, una volta preso contatto con l’Interessato, fornire la sua informativa e raccogliere in conseguente consenso al trattamento.

D.: Per quanto tempo devono essere conservate le schede nel centro di ascolto?

R.: Il Regolamento UE precisa che i dati possono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Non viene quindi precisata una durata di conservazione precisa.
Quando è esaurito il rapporto con l’Interessato, e decorso un periodo ritenuto congruo è necessario che i dati siano eliminati.

D.: Se una persona si rifiuta di prestare il Consenso al trattamento dei dati?

R.: Ogni persona deve essere aiutata a capire che il Consenso è richiesto per una tutela dei propri diritti e che i dati verranno trattati con diligenza.
Senza il consenso al trattamento il Centro di ascolto Caritas Parrocchiale non può procedere alla sua attività di assistenza.

D.: Cosa succede se l’Interessato si rivolge anche a un’altra Parrocchia per aiuto?
R.: Quando l’Interessato si rivolge a un altro Centro d’Ascolto, anche questo deve far sottoscrivere il consenso per la Privacy, specifico per il nuovo CdA contattato. Se esistono dati già inseriti dal primo Centro d’Ascolto nel sistema OSCAR Web, non appena sarà inserito il codice fiscale dell’interessato il

nuovo CdA potrà leggere alcuni dati presenti nel sistema.

D..: Cosa fare se l’interessato chiede la cancellazione dei suoi dati?
R.: L’interessato deve chiedere la cancellazione dei dati dall’archivio al Centro d’Ascolto a cui si è

appoggiato e che vuole escludere.
Se si è rivolto a più CdA e vuole la cancellazione dai loro archivi dovrà presentare richiesta a tutti i CdA a cui si è rivolto, e a Caritas Ambrosiana se vuole la cancellazione anche dal sistema OSCAR Web. Non è necessario effettuare l’operazione di distruzione della scheda personale alla presenza dell’interessato, basta dare conferma scritta dell’avvenuta operazione. Un comunicazione tipo per questi casi può essere la seguente:

4

“Egr. signore, facendo seguito alla Sua richiesta Le confermiamo la distruzione della cartella contenente i suoi dati personali e la cancellazione degli stessi dal nostro archivio informatico”

D.: L’interessato ha diritto ad avere copia della sua scheda personale?
R.: Sì, limitatamente alla parte contenente i suoi dati personali. Valutazioni e considerazioni del

personale del Centro d’Ascolto non rientrano nei dati che devono essere forniti all’Interessato, ma devono essere distrutti dal CdA insieme a tutto il dossier personale.

D.: Se il Centro di Ascolto è, per esempio, espressione della “San Vincenzo” chi è il Titolare del trattamento dei dati?

R.: Il Presidente della Associazione.

D.: E’ possibile tenere un’agenda, un diario presso il Centro di Ascolto?

R.: Sull’agenda comune del Centro di Ascolto possono essere annotate solo le note dell’operatore e non devono comparire i dati personali dell’interessato.
Accanto ai commenti dell’operatore può essere annotato un codice che permetta di risalire al soggetto cui si riferiscono.

D.: Un operatore del Centro di Ascolto può disporre di un’agenda personale per i colloqui, che non tiene nel locale del Centro di Ascolto ma presso la propria abitazione?

R.: Si, ma deve rimanere esclusivamente personale, le informazioni non devono essere condivise in alcun modo con gli altri operatori, e il suo proprietario è responsabile unico della sua corretta custodia.

D.: E’ necessario esporre il testo della legge sulla privacy nei locali del Centro di Ascolto?

R.: No, non è richiesto.

D.: Se viene fatto un colloquio telefonico?

R.: Per chi non ha già una Scheda Personale aperta, non è possibile raccogliere alcun tipo di dato.

D.: La Nota Informativa deve essere consegnata e fatta firmare anche alle persone che si recano presso il Centro di Ascolto per cercare badanti per la propria famiglia?

R.: Premesso che questa non è una funzione del Centro di Ascolto, si consiglia di segnalare alle famiglie che cercano una collaboratrice familiare i riferimenti della persona disponibile, la quale deve aver previamente prestato il Consenso scritto per questo tipo di comunicazioni.

D.: Molte persone si recano al Centro di Ascolto per cercare lavoro e chiedono esplicitamente all’operatore di diffondere il proprio nome e cognome a chiunque sia in grado di offrire loro un’occupazione. In tal caso come ci si deve comportare?

R.: Premesso che il Centro di Ascolto non è una Agenzia per il Lavoro, vale comunque la regola che i dati degli Interessati possono essere comunicati a terzi solo se è stato dato il Consenso scritto.

Nomina di Autorizzato al trattamento dei dati personali
(art. 28 Regolamento UE 2016/679 – art. 2, n. 10 Decreto CEI 24/5/2018)

Il Centro di Ascolto Parrocchiale raccoglie e tratta i dati personali di molte persone in occasione ed al fine di realizzare le sue molteplici attività.

Il sottoscritto ……………………………………, in qualità di [Parroco pro tempore della parrocchia di …………………… oppure Presidente della Associazione ………………… oppure Responsabile del Trattamento dell’Ente …………….], con sede in ………………………………….. via …………………………………, titolare del trattamento dei dati (d’ora in avanti, per brevità, il “Titolare”) Le affida il compito di

Autorizzato al Trattamento dei dati personali

Si precisano qui di seguito alcune regole di comportamento alle quale dovrà attenersi in funzione dell’incarico affidatoLe:

  1. L’Autorizzato è tenuto:
    1. Ad osservare la normativa contenuta nel Decreto Generale CEI del 24/5/2018 “Disposizioni

      per la tutela del diritto alla buona fama e alla riservatezza”, nelle altre norme canoniche che

      regolano la materia, nonché nel Regolamento UE 2016/679;

    2. A trattare i dati acquisiti dal Titolare relativi agli utenti dei servizi e ai loro familiari nel pieno

      rispetto del diritto della persona alla buona fama e alla riservatezza ed esclusivamente per i

      fini istituzionali della Fondazione Caritas Ambrosiana;

    3. A trattare i dati in modo lecito, corretto e trasparente nei confronti dell’interessato (art. 3,

      Decreto CEI) e tale da garantire un’adeguata sicurezza dei dati personali.

  2. Qualora l’Autorizzato abbia a disposizione le chiavi di accesso ai luoghi di custodia dei registri e degli archivi informatici deve custodirle con grande diligenza al fine di evitare che vi possano accedere

    persone non autorizzate, e comunicare tempestivamente al Titolare il loro eventuale smarrimento.

  3. Qualora l’Autorizzato disponga di password per l’accesso all’archivio informatico deve custodirla con grande diligenza, prestando attenzione ad evitare che i dati possano essere consultati da persone non autorizzate; deve altresì osservare le disposizioni fornite dal Titolare in merito alla

    caratteristiche della password e alla sua periodica sostituzione.

  4. L’Autorizzato può trattare i dati personali raccolti dal Titolare solo se necessario per l’adempimento

    dei compiti a lui affidati e non deve comunicarli a terzi, salve specifiche indicazioni date dal Titolare.

  5. L’Autorizzato deve comunicare senza indugio al Titolare l’eventuale accesso ai registri e agli archivi da parte di persone non autorizzate, la sparizione, la sottrazione o danneggiamento di qualsivoglia documento contenente dati personali, nonché ogni altro evento tale da compromettere la sicura

custodia dei registri e degli archivi.