Enti del terzo settore e raccolte fondi

Possibilità di ricontattare più agevolmente i donatori per nuove campagne

di Alfredo De Felice, per CRC Lex

Il Garante per la Protezione dei Dati Personali si è recentemente espresso con un parere (doc. web n. 9058954) a seguito della richiesta pervenuta da alcuni Enti del Terzo Settore (Airc, Telethon, Fai, Medici senza frontiere Italia, Associazione italiana sclerosi multipla, Comitato italiano per l’Unicef e Save the Children Italia), che lo hanno interrogato sulla compatibilità con la normativa privacy vigente della trasmissione di alcuni dati dei donatori (nello specifico, dati anagrafici e numero di telefono) da parte degli Operatori telefonici agli Enti destinatari delle singole donazioni effettuate tramite sms solidale o chiamata in fonia da rete fissa.

L’interrogazione al Garante prende le mosse dalle modifiche apportate dall’Autorità per le Garanzie nelle Comunicazioni (di seguito “AGCOM”) al Piano di numerazione nazionale, in adempimento delle quali “i fornitori dei servizi di comunicazione elettroniche e i fornitori di contenuti che impiegano le numerazioni [con codice 455]” sono tenuti ad indicare, all’interno del Codice di autoregolamentazione (dagli stessi adottato ai sensi della delibera AGCOM n. 17/17/CIR, cit., All. 1, art. 22, comma 8), “le modalità di conoscibilità dei donatori e di rendicontazione dei fondi raccolti ai fini della trasparenza, di acquisizione del consenso dei donatori all’utilizzo, per i fini consentiti, delle proprie anagrafiche e numeri di telefono da parte dell’Ente (..), tenuto conto delle norme vigenti sulla privacy[1].

Tale richiesta ha rappresentato l’occasione per l’Autorità di approfondire alcuni aspetti privacy di rilievo nell’ambito delle campagne solidali di raccolta fondi.

La natura del rapporto tra gli ETS e i gestori telefonici nelle raccolta fondi

Anzitutto, il Garante ha preso in esame il rapporto tra i soggetti coinvolti nelle operazioni di trattamento di dati personali.

Come noto, i servizi di raccolta fondi per fini di utilità sociale vengono resi da Enti non-profit anche attraverso il coinvolgimento delle compagnie telefoniche.

A queste ultime, infatti, sono demandate diverse operazioni di trattamento dei dati dei donatori (ad es. raccolta fondi, addebito del servizio attraverso il credito telefonico e/o in fattura per l’operatore telefonico).

Pur potendo apparire a prima vista distinte e autonome, le sopra indicate attività di trattamento devono intendersi un insieme di operazioni che perseguono una finalità comune e si avvalgono di strumenti stabiliti congiuntamente da ETS e Operatori Telefonici.

Sulla scorta di tale ricostruzione, l’Autorità ha inquadrato il loro rapporto nei termini della contitolarità del trattamento, una nuova forma di soggettività privacy introdotta dall’art. 26 del GDPR.

Rif: «(…) Gli Operatori telefonici, da una parte, nella misura in cui individuano, all’interno del Codice di autoregolamentazione, le regole per l’assegnazione delle numerazioni 455 e decidono autonomamente se aderire o meno alla specifica campagna di raccolta fondi richiesta dall’Ente (v. delibera AGCOM n. 17/17/CIR, cit., All. 1, art. 22, comma 5); gli Enti, dal canto loro, in considerazione del ruolo preponderante da questi assunto nell’elaborazione del summenzionato “progetto di raccolta fondi”, il quale contribuisce a definire nel dettaglio le modalità operative e i mezzi del trattamento di dati personali sopra individuato (v. Codice deontologico cit., art. 4, par. 1)».

Secondo la normativa, la configurazione di un simile rapporto impone alle parti di regolare, tramite un accordo interno, le rispettive responsabilità in merito agli obblighi derivanti dal GDPR.

In particolare, nell’informativa  di cui agli artt. 13 e 14 i gestori telefonici e gli Enti non-profit dovranno specificare, già in forma sintetica al momento della donazione (con rinvio ad un’informativa più estesa reperibile sui relativi siti di riferimento), il ruolo di contitolarità dei diversi attori e le differenti finalità di trattamento, nonché fornire agli interessati informazioni in merito all’esercizio dei propri diritti.

Rendicontazione e fidelizzazione: due distinte finalità del trattamento dei dati del donatore

Dopo aver concluso per l’esistenza di un rapporto di contitolarità, il focus si concentra poi sulla finalità di “ricontatto” del donatore, che si pone alla base dell’acquisizione dei dati personali da parte degli ETS.

Interpellato sul punto, secondo il Garante l’esigenza di “ricontatto” si esplica in due distinte finalità di trattamento dei dati personali del donatore: la rendicontazione e la fidelizzazione.

Se la prima consiste nel rendere noto al donatore gli esiti della specifica campagna di raccolta fondi cui ha contribuito, la “fidelizzazione” va intesa nel senso della promozione di nuove iniziative benefiche.

Da una siffatta bipartizione discende poi l’applicazione di differenti basi di legittimità del trattamento dei dati dei donatori da parte degli Enti.

Quanto alla finalità di “rendicontazione”:

Rif: «(…) il presupposto di legittimità del relativo trattamento potrebbe essere individuato nel “legittimo interesse del titolare” (art. 6, par. 1, lett. f) del RGPD). La rendicontazione individuale al donatore, infatti, pur non oggetto di specifico obbligo di legge, appare comunque in linea con lo spirito della recente riforma del terzo settore volta a promuovere gli strumenti di rendicontazione economica e sociale degli Enti del terzo settore (di seguito “ETS”) in quanto utili sia a garantire la più ampia trasparenza e conoscibilità delle attività svolte dagli enti medesimi, sia a rendere possibile una valutazione “del [loro] impatto sociale” sulla comunità di riferimento (v. art. 6, comma 2 e comma 3 della legge 106/2016, cit.)».

Con riferimento alla finalità di “fidelizzazione” invece:

Rif: «(…) il presupposto di legittimità del trattamento appare individuabile esclusivamente nel consenso dell’interessato raccolto da parte degli Operatori telefonici nel corso dell’operazione di donazione via sms/chiamata da rete fissa».

Gli Enti potranno quindi ricontattare i donatori per promuovere nuove campagne di fundraising solo nel caso in cui questi ultimi abbiano espresso il loro consenso.

Le modalità di raccolta e gestione del consenso

A questo punto, il Garante si sofferma sulle modalità di acquisizione del consenso al trattamento per la finalità di fidelizzazione.

La raccolta sarebbe effettuata direttamente dagli Operatori telefonici, sulla base dell’accordo interno di cui all’art. 26 GDPR.

In un primo caso di donazione tramite sms solidale, l’Operatore telefonico, dopo aver dato conferma al cliente via sms dell’avvenuta donazione, invierebbe allo stesso un ulteriore sms gratuito contenente una sintetica informativa (con rinvio a quella più estesa presente sul sito dell’Operatore e dell’Ente) e la richiesta di consenso alla comunicazione del numero di telefono all’Ente per un eventuale ricontatto nell’ambito della campagna di donazione; il cliente, per rilasciare il consenso al trattamento potrebbe rispondere SI tramite invio di un sms; l’Operatore invierebbe un ulteriore sms di conferma della scelta effettuata dal cliente.

Qualora invece la donazione avvenga tramite chiamata da rete fissa, l’Operatore telefonico fornirebbe, in modalità vocale, una breve informativa (con rinvio a quella più estesa presente sul proprio sito e su quello dell’Ente) e richiederebbe, mediante la digitazione di un apposito tasto, il consenso del cliente alla comunicazione dei propri dati personali all’Ente. Successivamente, l’Operatore in modalità vocale trasmetterebbe al cliente un messaggio di conferma dell’avvenuta acquisizione del consenso.

Società telefoniche ed Enti non-profit dovranno poi garantire il rispetto dell’art. 7 par. 3 GDPR, implementando un sistema che agevoli anche la revoca del consenso.

Commento

Il parere del Garante è destinato ad avere un forte impatto nel terzo settore, in quanto impone agli Enti non-profit di riconfigurare i rapporti con gli Operatori telefonici nei termini della contitolarità del trattamento.

Sotto un aspetto organizzativo diviene così necessario stipulare uno specifico accordo per regolare le responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, nonché le rispettive funzioni di comunicazione dell’informativa privacy.

Con via libera dell’Autorità, gli Operatori telefonici potranno poi comunicare agli Enti non-profit i dati di quanti hanno donato fondi attraverso sms o telefonate da rete fissa, verso la numerazione con codice “455”, per permettere agli ETS di rendicontare agli utenti i risultati delle iniziative cui hanno aderito.

Di converso, gli Enti potranno ricontattare i donatori per promuovere nuove campagne di fundraising solo nel caso in cui questi ultimi abbiano espresso il loro consenso, da rendersi tramite SMS o digitazione di un tasto durante la conversazione telefonica con l’operatore.


[1] (v. delibera AGCOM n. 17/17/CIR, cit., All. 1, art. 22, comma 9. Cfr. anche delibera AGCOM n. 561/16/CONS del 24 novembre 2016).


Autore: