Fundraising - Garante Privacy: è ammessa la “conoscibilità” dei donatori nell'ambito di campagne di raccolta fondi per beneficenza attraverso SMS solidali
Con il Parere rilasciato dal Garante in merito all’istanza proposta dagli Enti del Terzo Settore (AIRC, Fondazione Telethon, FAI, Medici Senza Frontiere Italia, AISM, Comitato Italiano per l’Unicef e Save the Children Italia) sulla possibilità di conoscere i nominativi e i relativi dati di contatto dei donatori nell’ambito delle campagne di fundraising - effettuate tramite sms “solidali” o chiamate vocali al numero “455” - sono state delineate le linee guida che permettono un adattamento della possibilità di ricontatto dei soggetti donatori con le norme sulla privacy contenute nel GDPR (Regolamento UE n. 679/2016).
Le modalità di ricontatto
Gli Enti del Terzo Settore vorrebbero ricontattare i donatori al fine di rendicontare sugli esiti della campagna di raccolta fondi e di informarli sulle nuove iniziative benefiche, proposte dell’Ente specifico.
I soggetti che verrebbero coinvolti in questo schema sarebbero, oltre ai donatori e agli Enti, anche gli Operatori telefonici che, aderendo alla campagna di raccolta fondi, tratterebbero i dati dei soggetti che utilizzano il numero “455” ai fini della campagna. La trasmissione dei dati da parte degli Operatori agli Enti ricadrebbe, dunque, nell’ambito di quei “servizi innovativi”, attivabili sulla base del contratto facoltativo tra le parti, ed avverrebbe secondo queste modalità alternative:
- tramite sms solidale, l’Operatore, dopo aver confermato al cliente l’avvenuta donazione, invia, per mezzo di un ulteriore sms, una sintetica informativa – disponibile in forma estesa sul sito dell’ente e dell’operatore telefonico – e la richiesta di consenso alla comunicazione del numero telefonico all’ente per l’eventuale ricontatto. A questo segue un altro sms di conferma dell’Operatore di avvenuta ricezione del consenso;
- tramite chiamata da rete fissa, l’Operatore dà al cliente, in modalità vocale, una breve informativa (quella estesa è sul sito dell’Ente e dell’Operatore) e richiede il consenso tramite la digitazione di un apposito tasto.
Il parere del Garante Privacy
Il Garante precisa, innanzitutto, che i servizi di fundraising per fini benefici da parte di enti, associazioni e organizzazioni no-profit, svolti via sms o rete fissa, sono regolati dal Piano di numerazione nazionale, che oltre individuare lo specifico codice numerico di riferimento (“455”), ne disciplina le modalità di svolgimento. Lo stesso Piano obbliga gli Operatori telefonici ad adottare un Codice di autoregolamentazione che definisca le modalità di conoscibilità dei donatori, oltre che le necessarie tutele a favore dell’utenza.
Entrambi i soggetti, Enti ed Operatori, partecipano e definiscono congiuntamente le finalità e i mezzi del trattamento dei dati come contitolari. La sola differenza rilevante è che l’Ente non è tenuto, successivamente all’acquisizione della lista dei clienti da parte degli Operatori, a contattare nuovamente il donatore per raccogliere e registrare il consenso, in quanto tale operazione è già avvenuta, quando il cliente ha contattato l’Operatore per effettuare la donazione.
Nel parere il Garante fa, poi, riferimento all’articolo 6 GDPR, «Liceità del trattamento», sulla base del quale deve essere valutata la legittimità del trattamento dei dati dei donatori da parte degli Enti, riferendosi in particolare al paragrafo 1, lettera a) e f), rispettivamente “consenso dell’interessato” e “legittimo interesse del titolare”.
Il Garante ha voluto, inoltre, precisare quali siano le “esigenze di ricontatto”: la rendicontazione trova il suo presupposto di legittimità nel legittimo interesse del titolare; la fidelizzazione nel consenso dell’interessato raccolto dagli Operatori telefonici nel corso dell’operazione di donazione. Entrambe trovano il loro fondamento:
- nel rapporto di contitolarità tra Enti e Operatori sulla base del quale la condivisione dei dati dei donatori può avvenire secondo le modalità previste dall’articolo 26 GDPR, «Contitolari del trattamento», individuando in maniera specifica il ruolo svolto da entrambe oltre che la rispettiva responsabilità;
- nella correlazione tra l’utilizzo dello strumento telefonico e la finalità del fundraising. L’Ente, infatti, a seguito dell’invio di un sms solidale per effettuare la donazione – circostanza assimilabile al “contatto spontaneo” con l’ente beneficiario – può rilasciare, ai sensi dell’articolo 13 del GDPR, «Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato», l’informativa anche per mezzo di un altro soggetto (l’Operatore telefonico) e acquisire, così, l’eventuale consenso per specifiche finalità di volta in volta individuate nell’informativa;
- nella particolare natura della finalità di ricontatto del donatore, del tutto diverse dalle classiche finalità di marketing in ambito commerciale. Gli Enti del Terzo Settore intraprendono, infatti, attività di fundraising viste molto positivamente dal legislatore, tant’è vero che tale attività è stata istituzionalizzata nel Codice del Terzo Settore (Decreto Legislativo n. 117 del 2017).
Infine, quanto alle modalità di raccolta del consenso, il Garante afferma che questo può avvenire con le modalità predisposte dall’Operatore telefonico.
Per quanto riguarda le modalità di trattamento, si specifica che l’informativa, già nella sua forma sintetica, dovrà indicare la contitolarità dei diversi attori e le diverse modalità di trattamento, con le relative basi giuridiche.
Inoltre, per garantire l’esercizio dei diritti degli interessati, ai sensi dell’articolo 12, paragrafo 2 del GDPR, «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», soprattutto il diritto di revoca del consenso, è necessario che gli Enti e gli Operatori implementino il sistema atto ad esercitare tali diritti, oltre che indicare i tempi di conservazione dei dati, che dovranno essere adeguati alla natura delle finalità di rendicontazione e fidelizzazione, definendoli, dunque, in forma progressiva, ogni volta che verrà ricontattato il soggetto che, in precedenza, aveva già donato.
(Garante per la protezione dei dati personali, Parere del 24 ottobre 2018, "Conoscibilità" dei donatori nell’ambito delle campagne di raccolta fondi per finalità benefiche tramite sms "solidali" o chiamate in fonia da rete fissa)
Il parere è integralmente reperibile qui.
