Con l’emanazione del Decreto n. DCLVII del 30 aprile 2024 la Pontificia Commissione per lo Stato della Città del Vaticano ha promulgato “ad experimentum” per un triennio il Regolamento Generale sulla protezione dei Dati personali per lo Stato della Città del Vaticano.

Si tratta del primo intervento normativo diretto a disciplinare in modo organico il trattamento dei dati personali effettuato dal Governatorato dello Stato della Città del Vaticano, sia nel territorio dello Stato della Città del Vaticano, sia nelle zone extraterritoriali di cui agli articoli 15 e 16 del Trattato Lateranense, in conformità alla Legge sul Governo dello Stato della Città del Vaticano N. CCLXXIV del 25 novembre 2018 e alla Legge Fondamentale dello Stato della Città del Vaticano del 13 maggio 2023 (art. 2, comma 1).

La normativa presenta significativi profili di specificità rispetto a quanto previsto dal Regolamento Europeo per la Protezione dei Dati Personali 2016/679.

È innanzitutto diversa la funzione attribuita ai Responsabili del Trattamento, individuati dal Segretario Generale del Governatorato, quale Titolare del Trattamento, nell’ambito dei ruoli apicali degli Organismi del Governatorato. I Responsabili del Trattamento sono chiamati alla diretta attuazione del Regolamento Generale sulla protezione dei Dati personali per lo Stato della Città del Vaticano nel rispetto dei principi di cui agli artt. 4 e 5 e designano, con atto scritto, i rispettivi Referenti, figura non prevista dal Regolamento Europeo e con cui si indicano le persone fisiche deputate alla tenuta e all’aggiornamento dei registri di trattamento. La funzione di Responsabile della Protezione dei Dati è invece attribuita al Consigliere Generale dello Stato della Città del Vaticano che garantisce «in piena indipendenza» la corretta applicazione del Regolamento Generale anche mediante la decisione dei reclami proposti dagli interessati.

L’art. 1 del Regolamento Generale sulla protezione dei Dati personali per lo Stato della Città del Vaticano fa inoltre espresso riferimento, insieme ai diritti e alle libertà della persona, al rispetto della dignità umana quale primo parametro – non previsto, invece, dall’art. 1 del Regolamento Europeo - cui deve informarsi l’applicazione del nuovo corpus normativo. Nondimeno, il successivo art. 6, comma 1 del Regolamento Generale, pur confermando il generale divieto di trattamento delle "categorie particolari di dati personali", non contempla i dati relativi alla vita sessuale o all'orientamento sessuale della persona (art. 9, par. 1 del Regolamento Europeo), optando per un più generico richiamo ai dati relativi ad «altre situazioni collegate alla vita privata della persona». Per quanto maggiormente conforme al concetto canonistico di intimitas – e, a tal riguardo, il Regolamento Generale ribadisce che «il diritto vaticano si caratterizza per riconoscere il diritto canonico quale fonte normativa e insostituibile criterio interpretativo» – la disposizione può determinare una notevole espansione delle “categorie particolari di dati personali”.

Il conseguente aumento delle ipotesi in cui può operare il generale divieto del trattamento di tali informazioni risulta in parte mitigato dalla maggiore ampiezza riconosciuta all’ambito di applicazione dell’eccezione di cui all’art. 6, comma 2, lett. d) del Regolamento Generale, che consente, in assenza del consenso dell’interessato, il trattamento di tali categorie di dati da parte di fondazioni, associazioni o altri organismi/organizzazioni senza scopo di lucro nel perseguimento di «finalità di interesse istituzionale», e non solo nello svolgimento di «finalità politiche, filosofiche, religiose o sindacali», come prescritto dall’art. 9, par. 2, lett. d) del Regolamento Europeo.

Il divieto di trattamento delle “categorie particolari di dati personali” in mancanza del consenso dell’interessato è ulteriormente derogato quando la loro acquisizione sia effettuata ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse - art. 6, comma 2, lett. i) – e, soprattutto, quando sia necessaria per l’esecuzione di un compito di interesse istituzionale o connesso all’esercizio di funzioni istituzionali di cui è investito il Titolare del Trattamento (art. 6, comma 2, lett. j).

Le eccezioni contemplate dall'art. 6, comma 2, lett. d), i) e j) conducono, invero, ad una sostanziale limitazione dell'operatività della base giuridica del consenso anche nel trattamento di tali particolari categorie di dati.

Degna di menzione è, inoltre, la disposizione di cui all’art. 8 del Regolamento Generale, in cui è imposto l’obbligo di fornire all’interessato un’informativa sul trattamento dei dati personali nel momento in cui i medesimi sono raccolti o entro un periodo ragionevole, comunque non superiore a trenta giorni lavorativi dalla data di raccolta oppure dalla prima comunicazione con l’interessato.

La normativa vaticana, analogamente a quanto avviene nel Regolamento Europeo, disciplina dettagliatamente il diritto di accesso, rettifica, cancellazione, portabilità dei dati della persona fisica e il suo diritto all’opposizione e alla limitazione dei dati, così come il diritto a proporre reclamo ad un’autorità di controllo, chiamata ad assicurare che tutti i trattamenti dei dati personali avvengano nel rispetto dei principi di liceità, correttezza, trasparenza, buona fede e proporzionalità e nel rispetto della dignità umana e dei diritti e delle libertà della persona. È in ogni caso fatto salvo il diritto dell’interessato di ricorrere all’autorità giudiziaria dello Stato della Città del Vaticano (art. 25).

L’autorità di controllo è individuata dal Regolamento Generale nel Consigliere Generale dello Stato della Città del Vaticanoil quale, come Responsabile della Protezione dei Dati (art. 10, comma 2), «agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri» (art. 10, comma 3). Tuttavia, al di là della circostanza che il Consigliere Generale sia nominato per un quinquennio direttamente dal Sommo Pontefice (art. 12 della Legge fondamentale dello Stato della Città del Vaticano del 13 maggio 2023), nel Regolamento Generale non si rinvengono disposizioni atte a garantire la sua «piena indipendenza». La normativa vaticana, difatti, non riproduce nessuna di quelle necessarie prescrizioni che l’art. 52 del Regolamento Europeo pone a presidio dell’effettiva indipendenza dell’autorità di controllo.

Fabio Balsamo