Premesso che, come noto, anche le associazioni e gli enti senza scopo di lucro sono soggette agli adempimenti imposti dal Regolamento UE 2016/679 – GDPR, dobbiamo considerare che nell’ambito delle attività no profit molteplici sono gli stakeholder per i quali si debbono intendere gli svariati soggetti direttamente ovvero indirettamente coinvolti in un progetto o nell’attività aziendale.
Da un lato i beneficiari che hanno come aspettativa quella di ricevere un aiuto; dall’altro vi è l’ente no profit il quale ha come aspettativa quella statutaria.
In questo “condotto” non vanno infine dimenticati i donatori/benefattori aventi l’aspettativa di essere rispettati nei loro diritti.
Indice degli argomenti
Individuazione della base giuridica nell’attività degli enti no profit
L’impostazione di default del vecchio impianto privacy vedeva come primaria base di legittimazione del trattamento il consenso dell’interessato. Bastava raccogliere una firma, in pratica.
Oggi, il panorama è sensibilmente cambiato anche grazie alla crescente riflessione sulle qualità di un consenso valido, come da Linee Guida 5/2020 che hanno recentemente aggiornato quelle di cui al WP 259.
Le basi di legittimità di un trattamento possono, dunque, essere molteplici e tutte con pari “dignità”.
Come afferma il WP 217 III. 3.5 «… prima di effettuare un’operazione di trattamento sulla base dell’articolo 6, lettera f), il titolare del trattamento ha la responsabilità di valutare se ha un interesse legittimo, se il trattamento è necessario per il perseguimento di quell’interesse legittimo e se nel caso specifico gli interessi e i diritti degli interessati prevalgono su detto interesse».
Enti non profit e GDPR: il cosiddetto legittimo interesse
Per legittimo interesse si intende quell’interesse del titolare che lo legittima a trattare i dati di una persona fisica, assumendo esso stesso la veste di una base giuridica su cui valutare la liceità delle operazioni di trattamento.
Orbene, al fine di essere aderenti all’articolo 6, lettera f), un “legittimo interesse” deve essere:
- lecito nel senso di conforme al diritto nazionale e dell’Unione applicabile;
- articolato in maniera sufficientemente chiara da consentire di eseguire il test comparativo valutando l’interesse legittimo del Titolare del trattamento rispetto agli interessi e ai diritti fondamentali dell’interessato (ossia sufficientemente specifico);
- concreto ed effettivo (vale a dire non teorico).
Ogni interesse per essere legittimo deve essere ammesso dalla legge. Il concetto di legge «comprende tutte le forme di diritto scritto e diritto comune, diritto primario e derivato, ordinanze comunali, precedenti giurisprudenziali, principi costituzionali, diritti fondamentali, altri principi legali nonché la giurisprudenza» (cfr. WP 217, nota 48).
Perché scegliere il legittimo interesse come base di liceità del trattamento
Scegliere il legittimo interesse come base di liceità del trattamento ribadisce l’importanza della identità statutaria dell’ente no profit e lo colloca in un ambito di “autonomia” nel perseguire i suoi fini.
Spesso l’unica alternativa al legittimo interesse è il consenso dell’interessato. Tuttavia, non sempre il consenso è effettivamente la base giuridica corretta in considerazione degli eventuali squilibri di potere (enti assistenziali la persona) e della necessità che esso sia prestato liberamente, senza subire pregiudizio alcuno (se rifiuti di conferire i dati, perdi il servizio).
La scelta incisiva del legittimo interesse, con rafforzamento dell’accountability
La scelta del legittimo interesse non è tuttavia una scappatoia per sfuggire all’esercizio dei diritti degli interessati.
Allora, occorre porsi alcune domande dalle quali trarre degli spunti di riflessione. Innanzitutto, cosa può “fondare” giuridicamente il legittimo interesse di un Ente No Profit?
Trattare i dati inerenti ad attività riconosciute legittime in fase di approvazione dello statuto, da parte dell’Autorità.
In pratica, lo Stato riconosce legittime le attività dell’ente no profit approvandone lo statuto. Legittimandone le attività ne legittima anche la mission e, conseguentemente, quello che in termini di protezione dei dati si denomina “interesse”.
Richiamando il WP 217, notiamo come in alcune ipotesi: «… il responsabile[1] del trattamento [n.d.a.a.: oggi, con l’avvento del GPDR, il titolare] potrebbe voler invocare l’interesse pubblico o l’interesse della collettività (a prescindere che ciò sia previsto o meno nelle normative o nei regolamenti nazionali). Per esempio, un ente di beneficenza o un’associazione senza scopo di lucro potrebbero trattare dati personali rispettivamente a fini di ricerca medica e di sensibilizzazione sulla corruzione governativa. (WP 217 III.3.4).
Quanto più la collettività si aspetterà e riconoscerà chiaramente che il Responsabile del trattamento [n.d.a.a.: oggi, con l’avvento del GPDR, il titolare] può intervenire e trattare i dati al fine di perseguire tale interesse, tanto maggiore sarà il peso di questo interesse legittimo nel bilanciamento. (WP 217 III.3.4)».
Il che significa, in altri termini, che tante delle associazioni no profit già riconosciute dallo Stato, poiché sono anche sono riconosciute dalla Collettività di fatto, sono già portatori di un legittimo interesse, nei termini in cui discutiamo.
Ma non è tutto.
Il citato WP prosegue ancora affermando che «ovviamente, nella valutazione occorre anche riflettere sull’eventuale danno subito dal Responsabile del trattamento [n.d.a.a.: oggi, con l’avvento del GPDR, il titolare], dai terzi o dalla collettività in caso di mancato trattamento dei dati. (cfr. WP 217 nota 82).
Precisando ancora che «Anche quando non trovano direttamente riscontro negli strumenti legislativi o normativi, le aspettative culturali e sociali, potrebbero svolgere a loro volta un ruolo importante e contribuire a far pendere il bilanciamento in un senso o nell’altro. Quanto più il fatto che i titolari del trattamento possono intervenire e trattare i dati al fine di perseguire un particolare interesse sarà espressamente riconosciuto nel diritto, in altri strumenti normativi (siano essi vincolanti o meno per il titolare del trattamento) o addirittura nella cultura di una determinata collettività in generale senza una specifica base giuridica, tanto maggiore sarà il peso di questo interesse legittimo nel bilanciamento.» (cfr. WP 217 III.3.4).
Il bilanciamento d’interesse e i fattori per poterlo effettuare correttamente
Vediamo ora alcuni risvolti del legittimo interesse, e in particolare:
- legittimo interesse versus diritti degli interessati: i diritti non decadono mai, vanno eventualmente armonizzati dove e come possibile;
- legittimo interesse versus periodo di conservazione, per usi futuri: corre d’obbligo distinguere due sottocategorie:
- circa l’obbligo di legge non sussiste il bilanciamento di interesse. Le associazioni no profit hanno, infatti, l’obbligo di mantenere il dato per almeno cinque anni, periodo nel quale le Autorità competenti (come, ad esempio, l’Agenzia dell’Entrate) possono verificare l’effettiva erogazione, per spirito di liberalità, dell’interessato;
- circa il periodo di conservazione, invece, interviene il bilanciamento di interesse nella misura in cui il solo fine statutario non legittima una conservazione del dato a priori, rispondendo quasi al principio del “non si sa mai”. Occorre semmai inserire, nell’esecuzione di tale bilanciamento, la verosimile aspettativa dell’Interessato.
Per meglio comprendere questi aspetti, di seguito, rappresentiamo uno scenario ipotetico, a titolo esemplificativo ma non esaustivo secondo il quale si possono configurare tre tipi/ipotesi di benefattori.
Ipotesi | Evidenza | |
Benefattori regolari | Tutti i mesi o ad intervalli regolari. | Interesse ad essere contatto. |
Benefattori saltuari | Una tantum. | Con risposta a sollecitazione specifica. |
Ex benefattori | Silenti da tempo. | Non dimostrano interesse. |
Nell’ultima prospettata ipotesi (ex benefattori) notiamo come si arrivi quasi a profilare un legittimo “disinteresse”.
Ne discende che sarà bene, nella pratica, facilitare concretamente l’esercizio del sistema opt-out attraverso, ad esempio, specifiche e puntuali comunicazioni dal tenore per esempio: “…in caso di non risposta, si effettuerà la cancellazione…”.
In altri termini, messaggi chiari ed evidenti che, peraltro, dimostrerebbero non solo la mancata prevalenza del legittimo interesse per raccolta fondi, nel rispetto semmai delle verosimili aspettative dell’Interessato; ma anche e soprattutto la tenuta dell’accountability dell’ente no profit.
Enti no profit e GDPR: il cosiddetto “ulteriore utilizzo”
Il WP 217 III sempre al punto 3.4 osserva che «…è importante valutare se lo status del titolare del trattamento, la natura della relazione o il servizio fornito o gli obblighi giuridici o contrattuali applicabili (o altre promesse formulate al momento della raccolta dei dati) potrebbero dare luogo a ragionevoli aspettative riguardo a una riservatezza più rigorosa e a limitazioni più severe in merito all’ulteriore utilizzo».
A tal proposito, si pensi a tutte le ipotesi di campagne fondi svolte a seconda delle esigenze che possono profilarsi nel mondo no profit con riferimento alle quali i dati dei beneficiari potranno essere utilizzati limitatamente alle finalità per le quali sono (stati) raccolti.
Al riguardo, verosimilmente, nei confronti dei dati dei beneficiari detti Enti sono soggetti ad una riservatezza maggiore rispetto a quella, comunque, dovuta ai benefattori.
Non a caso il GDPR introduce il principio di adeguatezza delle misure tecniche ed organizzative il quale, proprio nel concetto predetto, si esprime.
Non solo, la riflessione sull’individuazione dell’interesse legittimo, e sulle misure tecniche ed organizzative adeguate legate al trattamento dei dati, deve essere altresì documentata e disponibile come misura di Accountability (cioè di responsabilizzazione).
Enti no profiti e GDPR: attività di fundraising e differenze con il marketing diretto
Per fundraising si intende letteralmente una raccolta di fondi; vale a dire l’azione con la quale si raccolgono soldi per sostenere o finanziare qualche progetto o nobile causa, per attività prevalentemente a scopo sociale.
In pratica, si tratta del marketing sociale. Quest’ultimo può essere:
- indiretto, con campagne di sensibilizzazione;
- diretto, attraverso comunicazioni mirate alla fidelizzazione del donatore/benefattore alla proposta di nuove iniziative.
Le differenze tra il marketing classico (per profitto) ed il marketing sociale o fundraising (senza profitto) sono molteplici. Si tratta di mondi separati laddove segnarne le distanze è fondamentale.
Non clienti, ma donatori/benefattori
Il fundraising non promuove la vendita e/o lo scambio di prodotti e servizi su base corrispettiva, ma offre “il consumo” di emozioni positive (compassion, solidarietà, empatia, soddisfazione) su basi fideistica/fiduciaria.
In pratica, «io dono (e mi sento bene), tu (associazione) aiuti, il beneficiario (cliente) ottenendo un vantaggio concreto».
Col che, alcune considerazioni sulla linea di confine sulle due attività di marketing.
Anzitutto, una maggiore incidenza sulle emozioni legate alle scelte del donatore/benefattore rispetto al consumatore/cliente.
La differenza, poi, della motivazione e relativo nesso causale è un fattore centrale. Il fine, infatti, non è il profitto generato grazie alla soddisfazione di un bisogno, espresso o latente, da parte dei consumatori “a causa” di un prodotto o servizio adeguato.
Nel no profit la causa sociale genera un valore aggiunto, un impatto positivo, grazie alla sostenibilità resa possibile dal fundraising.
«Non è un incontro tra domanda e offerta, ma tra offerta e desiderio di offerta».
Ancora, non ci sono target, ma profili.
In sostanza, il “vantaggio emotivo” è l’elemento distintivo per eccellenza del fundraising rispetto al marketing che, dunque, non sono affatto la stessa cosa.
Il recente Provvedimento dell’Autorità belga e la sua importanza
Lo scorso fine mese di giugno, l’Autorità Garante belga ha multato un’associazione no profit per aver inviato messaggi di marketing ad ex donatori/benefattori.
Tale ente esercitava proprio l’attività di fundraising supportato dal legittimo interesse.
Nella fattispecie, tale associazione aveva inviato messaggi di marketing diretto sociale a degli ex donatori/benefattori i quali, anni prima, avevano dato un loro contributo a delle raccolte fondi esercitando nel mentre il diritto di opposizione al trattamento ai sensi dell’art. 21 della GDPR, in forza del quale richiedevano espressamente a quell’Ente la cancellazione dei loro dati personali ai sensi e per gli effetti di cui all’art.17 cit.
Ciononostante — ad entrambe istanze disattese — l’associazione no profit coinvolta continuava a “tempestarli” di messaggi per finalità di marketing sociale.
A seguito, dunque, del reclamo proposto dagli interessati che lamentavano il mancato riscontro all’esercizio dei loro diritti, è scattata la sanzione amministrativa.
Orbene, riteniamo che tale Provvedimento sia meritevole di nota, non tanto per la sanzione pecuniaria inflitta di modesta entità (€ 1.000,00), ma per il fatto che come si legge in un comunicato di sintesi «la Camera delle controversie belga ha anche ritenuto che nel caso di specie l’associazione non potesse validamente invocare il suo legittimo interesse come base giuridica per il trattamento, perché nel complesso non soddisfaceva le condizioni imposte dalla giurisprudenza della Corte di Giustizia dell’Unione Europea, in particolare nella sentenza Rigas dell’11 dicembre 2019 relativa alla Causa C-708/18»
Secondo quest’ultima sentenza «per invocare l’articolo 6.1, lettera f) del Gdpr, il titolare del trattamento deve infatti poter dimostrare che 1) gli interessi perseguiti possono essere riconosciuti come legittimi (“purpose test”); 2) il trattamento è necessario ai fini del trattamento previsto (“necessity test”); e 3) che sia stato fatto un bilanciamento di tali interessi con i diritti e le libertà fondamentali delle persone interessate, il quale grava sul titolare del trattamento o su una terza parte (“balancing test”)».
Conclusioni e prospettive (anche) in Italia
Dal citato precedente evinciamo che, in caso di dubbi circa l’aspettativa dell’Interessato che i suoi dati personali siano trattati per scopi di marketing diretto anni dopo la raccolta degli stessi (Considerando 47), possa essere considerato legittimo l’interesse nella misura in cui questo sia ancora sostenibile.
Tuttavia, il titolare non potrà difendersi dietro lo scopo benefico, ribadendo quanto detto in principio: “fare del bene” non legittima far come pare.
Anzi, proprio per la finalità di marketing sociale di cd fundraising, maggiore dovrà essere l’attenzione da parte del titolare del trattamento il quale dovrà mettere l’interessato nelle condizioni più agevoli per poter esercitare, in qualsiasi momento e senza spiegazione alcuna, il proprio diritto di opposizione e cancellazione.
Il tratteggiato scenario che prende spunto da un precedente belga, vale anche per l’Italia popolata da svariate associazioni no profit nelle quali iniziative di «marketing cognitivo, emotional marketing, – customer experience, engagement, customer journey, customer retention strategy, mobile strategy, digital marketing, data driven, social media management, cross channel, influencers ecc.» non dovranno portare al risultato contrario cioè a dire ponendo sotto eccessiva “pressione” il donatore/benefattore.
NOTE
- Si precisa che il documento del WP si riferisce al ruolo del “responsabile” nello stesso modo, intendendo quello che oggi, il GDPR, considera come “titolare”. ↑