Il 25 maggio si avvicina e cresce l’ansia rispetto a quanto il nuovo GDPR impatterà sugli organismi nonprofit e sul lavoro del fundraiser. Attraverso Nonprofit Blog desidero dare un contributo di valore alla materia grazie all’intervento dell’avvocato Chiara Agostini, partner dello studio RpLegal, per chiarire alcuni aspetti prioritari a cui occorrerà necessariamente conformarsi. Nel farlo, l’avvocato dà un taglio ad uso del fundraiser con la promessa di tornare sull’argomento con una Q&A mirata e fruibile secondo anche i suggerimenti che arriveranno dal lettore. Buona lettura.
—–
Il prossimo 25 maggio diventerà a tutti gli effetti applicabile il nuovo Regolamento UE 679/2016 (il c.d. “GDPR”) in materia di protezione dei dati personali: si tratta di un testo fortemente innovativo rispetto alla normativa vigente, che si pone come obiettivo quello di delineare principi comuni per tutti gli Stati membri e un più alto livello di garanzie a tutela del diritto fondamentale dei cittadini alla propria riservatezza.
A tale nuovo impianto normativo, sono chiamati a conformarsi tutti i titolari del trattamento, indipendentemente dalla loro natura giuridica, dal settore merceologico d’appartenenza e dalle dimensioni dell’attività, pena l’irrogazione di sanzioni pecuniarie amministrative che possono raggiungere anche il 4% del fatturato globale annuo o 20 milioni di euro. Entro tale data, pertanto, anche gli enti e le organizzazioni nonprofit, in quanto titolari dei dati dei propri dipendenti e collaboratori, dei volontari, dei donatori e dei beneficiari delle loro attività, dovranno procedere ad adeguarsi a tale nuova normativa.
Il percorso da seguire per conformarsi al GDPR presuppone una mappatura delle banche dati in uso all’interno di ciascuna organizzazione nonprofit, volta ad individuare le caratteristiche intrinseche dei trattamenti posti in essere, in termini di dati personali raccolti, siano essi comuni o sensibili, finalità perseguite, soggetti coinvolti e misure di sicurezza applicate.
Per dato comune, si intende:
“qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (cfr. art. 4, comma 1, lett. b) del D.Lgs. 196/2003)
Per dato sensibile, si intende:
“i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (cfr. art. 4, comma 1, lett. d) del D.Lgs. 196/2003)
Da tale indagine, in conformità ai nuovi principi di privacy by design e privacy by default e in adempimento al principio di accountability che richiede la responsabilizzazione del titolare del trattamento, sarà necessario operare una valutazione circa l’adeguatezza dei dati raccolti rispetto allo scopo perseguito e delle misure di sicurezza applicate al fine di preservare tali informazioni da possibili accessi non autorizzati, perdite o alterazione di dati o, ancora, rischi di indisponibilità degli stessi.
Diversamente dalla normativa vigente, che detta una impostazione formalistica per il rispetto della normativa in materia di privacy, il testo normativo del GDPR non fornisce indicazioni precise su quali siano le misure pratiche da adottare: secondo tale nuova impostazione, infatti, l’approccio da tenere in ordine a ciascuna banca dati dovrà essere valutato direttamente dal titolare caso per caso, tenendo in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento che si intendono perseguire.
Oltre a tali principi di carattere generale, le organizzazioni nonprofit saranno tenute ad aggiornare le informative privacy e i format del consenso, in base ai nuovi diritti e ai nuovi obblighi informativi disposti dal regolamento europeo, nonché a porre in essere le nuove formalità richieste da tale disposizione di legge, nei limiti e con le modalità ivi delineate: le procedure aziendali nel rispetto dei principi di privacy by design e privacy by default e per il data breach, il registro del trattamento, la nomina del Responsabile della Protezione dei dati e il privacy impact assessment.
Il quadro normativo poc’anzi delineato, si noti bene, dovrà essere applicato di concerto a tutti i provvedimenti e le normative adottate a livello nazionale in materia di trattamento dei dati personali, senza dimenticare le disposizioni in materie specifiche, come ad esempio quelle dedicate al trattamento dei dati nel settore del telemarketing.
A tal proposito, nell’interesse delle organizzazioni che svolgono attività di fundraising, giova ricordare che lo scorso 4 febbraio è entrata in vigore la Legge 11 gennaio 2018 n. 5, meglio nota come legge “anti-telemarketing”.
Tra le numerose innovazioni apportate da tale disposizione normativa, particolare attenzione va attribuita alla possibilità per gli utenti di iscrivere al registro delle opposizioni anche le numerazioni fisse non presenti negli elenchi pubblici e quelle di telefonia mobile.
Il Registro Pubblico delle Opposizioni è gestito dalla Fondazione Bordoni ed è stato costituito nel 2010 per offrire un servizio a tutela del cittadino, consistente nella possibilità di indicare la numerazione di telefonia fissa presente negli elenchi pubblici su cui vietare la ricezione di telefonate indesiderate.
Parimenti rilevante è la disposizione per cui, con l’iscrizione al suddetto registro, il legislatore ha precisato che devono intendersi revocati tutti i consensi al trattamento dei dati personali espressi in precedenza, fatti salvi solamente
“i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”.
In virtù di tale assunto, pertanto, nonostante la permanenza di qualche dubbio in merito alla sua corretta interpretazione, sarà possibile, per gli utenti, indicare specifiche deroghe al regime di opposizione generale in favore di determinati titolari/operatori commerciali, in mancanza delle quali, salvo la limitazione sopra citata, tutti i precedenti trattamenti della numerazione iscritta in tale registro dovranno intendersi come revocati.
Per evitare di incorrere in illeciti trattamenti di dati, è pertanto necessario per tutte le organizzazioni nonprofit che svolgono attività di fundraising, consultare mensilmente e, comunque, prima di intraprendere ogni campagna promozionale, il Registro delle Opposizioni, tenendo così regolarmente aggiornata – e lecita – la propria lista di contatti.
————-
Guest post. Txs to Chiara Rossana Agostini. Partner del dipartimento TMT & Privacy dello Studio R&P Legal, esperta in materia di privacy e data protection, offre assistenza giudiziale e consulenza stragiudiziale a società, enti ed associazioni, oltre al servizio di assessment privacy in base al nuovo regolamento Europeo n. 679/2016 GDPR e al servizio di data protection officer. È membro italiano del Cloud Privacy Check, network internazionale di studi legali specializzati in materia di diritto della protezione dei dati personali. Autrice di diversi articoli e contributi in tema di protezione di dati personali e di proprietà intellettuale, partecipa regolarmente a workshop e convegni in qualità di relatrice. replegal.it
