FAQ Privacy e nonprofit
Questa rubrica è a cura di Tiziana Minella, consulente sul tema della privacy per le organizzazioni nonprofit. Tiziana Minella offre consulenza personalizzata sul tema della privacy con tariffe di favore agli utenti che hanno creato gratuitamente un account su Fundraising.it. Per contattarla scrivete a tizianaminella@alice.it oppure se siete interessati a leggere il suo libro sulla Privacy per il nonprofit e il fundraising potete saperne di più e acquistarlo visitando il sito di Edizioni Philanthropy.
FAQ n° 1 – Le organizzazioni nonprofit possono utilizzare i nominativi estratti dagli elenchi telefonici per le proprie campagne di fund raising?
FAQ n° 2 – La nuova disciplina delle liste elettorali è favorevole alle organizzazioni nonprofit per le proprie attività di comunicazione?
FAQ n° 3 – Anziché richiedere le liste elettorali al Comune, un’associazione può richiederle ad una società di marketing diretto che ne ha già disponibilità?
FAQ n° 4 – Come disciplinare il rapporto ai fini della normativa sulla privacy con gli outsourcer che gestiscono campagne di fund raising dell’associazione?
FAQ n° 5 – Le associazioni devono sempre ottenere il consenso dei destinatari delle proprie campagne di fund raising?
FAQ n° 6 – Cos’è la notificazione ed è obbligatoria per le associazioni non-profit?
FAQ n° 7 – I volontari possono trattare i dati dei donatori?
FAQ n° 8 – Come rispondere ai sostenitori che richiedono la cancellazione dei dati?
FAQ n° 9 – Le informazioni trattate dalle associazioni sono dati sensibili?
FAQ n° 10 – Il responsabile interno è obbligatorio per tutte le associazioni?
FAQ n° 11 – Quali sono le regole per l’invio di e-mail per fini di fund raising?
FAQ n° 12 – Quali sono le regole per pubblicare o diffondere delle immagini (foto, video) per far conoscere le proprie attività?
FAQ n° 13 – Le associazioni possono utilizzare i dati dei donatori di altre associazioni per proprie attività di fund raising?
FAQ n° 14 – Le organizzazioni nonprofit possono utilizzare i nominativi estratti dagli elenchi telefonici per le proprie campagne di fund raising?
FAQ n° 15 – Come sensibilizzare i volontari rispetto agli adempimenti privacy verso i donatori?
FAQ n° 1 – Le organizzazioni nonprofit possono utilizzare i nominativi estratti dagli elenchi telefonici per le proprie campagne di fund raising?
Gli elenchi telefonici sono sempre rientrati tradizionalmente fra i cosiddetti elenchi pubblici; ma la loro disciplina è stata radicalmente mutata dall’art. 129, d. lgs. 196/2003, che ha posto regole su limiti modalità di inserimento negli elenchi e successivo utilizzo dei dati degli abbonati: queste regole sono state approntate anche per il trattamento dei dati degli abbonati per fini di marketing diretto. Per questa finalità di trattamento è prescritto che l’abbonato manifesti il proprio consenso espresso e specifico, distintamente per la pubblicità postale e per quella telefonica.
Il consenso per tali usi è stato raccolto attraverso modelli appositi predisposti dal Garante e recapitati ai singoli abbonati dai vari gestori telefonici.
Le manifestazioni di volontà dell’abbonato sono riportate negli elenchi telefonici (cartacei, on-line e CD), con due simboli distinti: una “busta” se è stato prestato il consenso alla pubblicità via posta ed una “cornetta” se è stato prestato consenso alla pubblicità telefonica.
È ragionevole chiedersi se le organizzazioni nonprofit possono considerarsi escluse da questo regime restrittivo e valutare se si possano continuare ad utilizzare indiscriminatamente i dati degli elenchi telefonici, indipendentemente dal consenso espresso dall’abbonato, per le proprie campagne di fund raising.
Per dare risposta è rilevante chiarire cosa si intende con il termine di “pubblicità” richiamato nel modulo di raccolta del consenso a ricevere materiale pubblicitario via posta o telefono.
Un primo contributo è fornito dal Garante affrontando la propaganda elettorale: pur riconoscendo che “la propaganda elettorale – a cui sono equiparabili le attività di fund raising, poiché entrambe senza scopo di lucro – ha una propria specificità rispetto alla comunicazione commerciale e di marketing”, nel trattare i casi equiparati ai registri pubblici, cita gli elenchi telefonici e la loro mutata disciplina. Pertanto, al concetto di “pubblicità” richiamato nel modulo di raccolta dei consensi è assimilata la realizzazione di messaggi volti alla sensibilizzazione su temi di interesse sociale o benefici.
Un secondo contributo deriva dal Codice dell’Autodisciplina Pubblicitaria che definisce la “pubblicità”: alle forme commerciali di comunicazione commerciale è assimilata la “pubblicità sociale”. Infatti, detto Codice disciplina anche gli “appelli al pubblico” che sono identificati come “qualunque messaggio volto a sensibilizzare il pubblico su temi di interesse sociale, anche specifici, o che sollecita, direttamente o indirettamente, il volontario apporto di contribuzioni di qualsiasi natura, finalizzate al raggiungimento di obiettivi di carattere sociale. (……….). Le presenti disposizioni si applicano anche alla pubblicità commerciale che contenga riferimenti a cause sociali.”.
Ciò premesso, le organizzazioni nonprofit hanno gli stessi limiti di utilizzabilità dei dati tratti dagli elenchi telefonici dei soggetti che perseguono fini di lucro: per le attività di fund raising, è possibile utilizzare soltanto i dati in corrispondenza dei quali sono apposti i simboli distintivi della manifestazione di consenso a ricevere pubblicità – in questo caso “sociale” – via posta (“busta”) o telefono (“cornetta”).
FAQ n° 2 – La nuova disciplina delle liste elettorali è favorevole alle organizzazioni nonprofit per le proprie attività di comunicazione?Con l’entrata in vigore del d. lgs 196/2003, l’uso indiscriminato delle liste elettorali è venuto meno, in virtù del suo art. 177, comma 5, che circoscrive la liceità di rilascio delle liste elettorali per fini di “applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso”.
Sin da subito era chiaro che partiti politici, singoli candidati o comitati promotori erano soggetti legittimati a richiedere ai Comuni il rilascio delle liste elettorali per loro fini di propaganda. Non così evidente e universalmente condivisa era, viceversa, cosa il legislatore intendesse per “carattere socio-assistenziale” e “interesse collettivo o diffuso”. Era dunque necessaria una specifica analisi di tali dizioni, evidentemente assai ampie ed astratte.
Sebbene il concetto di “carattere socio-assistenziale” possa di per sé sembrare di univoca interpretazione, l’impostazione del sistema di legge vigente e l’esperienza applicativa maturata legittimavano i dubbi sulla effettiva volontà del legislatore (e soprattutto del Garante, rilevante in via interpretativa e dunque sostanziale) di favorire il ripristino di un regime di pubblicità delle liste elettorali in rapporto a trattamenti che, sebbene volti a perseguire scopi benefici, umanitari, sociali o simili, si presentino con le caratteristiche del contatto promozionale avente come finalità immediata la raccolta di fondi a favore dell’ente promotore, soprattutto qualora si tratti di iniziative di enti privati, seppure tali trattamenti ben possano tutti concettualmente essere accomunati dall’egida del perseguimento (diretto o indiretto) di finalità di “carattere socio – assistenziale”.
Ancora più complesso è conferire portata concreta al concetto di “interessi collettivi o diffusi”: se, infatti, esiste una casistica normativa e giurisprudenziale che individua diversi interessi collettivi o diffusi (quali: diritto alla salute, salvaguardia dell’ambiente, difesa del consumatore, diritti del fanciullo), è ragionevole supporre che si tratta di una categoria aperta la cui espansione e definizione è strettamente dipendente dall’evoluzione della società.
Una svolta radicale e positiva per il settore nonprofit è stata fornita da una esternazione del Garante nel maggio 2005 in cui chiarisce, in particolare, che “le liste elettorali non sono precluse alle Onlus, che possono continuare ad utilizzarle per attingere nomi e indirizzi. L’art. 177 del Codice della privacy, infatti, ha previsto che gli elenchi elettorali possano essere utilizzati da chi persegue un interesse collettivo o diffuso.”
Quindi, il settore nonprofit può utilizzare per le proprie campagne di comunicazione i dati tratti dalle liste elettorali.
Le liste elettorali possono essere richieste ai singoli Comuni dalle associazioni, specificando quali sono le finalità umanitarie, sociali, ambientaliste o altro che intendono perseguire con l’uso dei dati e, meglio ancora, allegando alla richiesta il proprio Statuto, affinché l’Amministrazione Comunale abbia elementi di valutazione circostanziati per esprimersi sulla legittimità della richiesta e, cioè, sulla conformità alla legge della finalità dichiarata dal richiedente.
In alternativa, è possibile nominare responsabile del trattamento per la raccolta dei dati una società di marketing diretto, che avanzi per conto dell’associazione al Comune la richiesta di fornitura, corredandola da tutti gli elementi che altrimenti la stessa associazione avrebbe esibito in allegato alla propria istanza formulata direttamente.
FAQ n° 3 – Anziché richiedere le liste elettorali al Comune, un’associazione può richiederle ad una società di marketing diretto che ne ha già disponibilità?Questa modalità di raccolta dei dati, purtroppo, è preclusa dalla posizione del Garante che ha avvalorato una decisione del Ministero dell’Interno derivata, anche, dalla proliferazione di richieste di queste società “profit” ai singoli Comuni. L’approfondimento della questione da parte del Ministero dell’Interno ha condotto alla conclusione che le liste elettorali possono essere rilasciate soltanto al richiedente, che deve essere necessariamente un ente o un’associazione, per proprie attività di comunicazione coerenti con l’oggetto dell’attività stessa di tale organismo. Pertanto, sempre secondo il Ministero, richieste come quelle dirette avanzate dalle società di marketing non possono essere accolte anche quando le società dichiarino di annoverare tra i propri clienti soggetti aventi titolo a richiedere le liste elettorali, anche perché l’oggetto dell’attività imprenditoriale esercitata non esclude la possibilità di un utilizzo dei dati personali contenuti nelle liste elettorali per finalità anche diverse ed ulteriori rispetto quelle consentite dalla normativa vigente.
Non si può che condividere, sotto il profilo della correttezza dell’interpretazione della normativa, il parere ministeriale, ma pare del tutto ragionevole dissentire per quanto attiene l’eccessiva onerosità che ne deriva in capo alle singole associazioni, che dovrebbero, i singoli Comuni se – come di prassi – intendono svolgere un’attività di comunicazione a livello nazionale. D’altronde, le liste elettorali non possono più essere rilasciate a “chiunque” ne faccia richiesta (come prima del d. lgs 196/2003), ma solo a chi persegue fini sociali o di interesse collettivo.
Un elemento delle richieste, giustamente contestato, è l’indeterminatezza delle finalità dichiarate. Vengono menzionate genericamente le finalità, senza scendere nei particolari. Per fare una valutazione congrua, l’Amministrazione Comunale deve conoscere almeno la finalità specifica, cioè quale attività sociale, umanitaria o assistenziale si intende perseguire con l’uso dei dati. Chiaramente tale indeterminatezza è collegata al fatto che la società di marketing intende raccogliere i dati per più associazioni, per cui la definizione delle finalità rimane sul generico e ciò al fine di poterli utilizzare in ogni occasione e con diversi soggetti. Le istanze sono respinte poiché le società di marketing andrebbero a sostituirsi al Comune nella valutazione sulla conformità alla legge della finalità dichiarata dal cliente-associazione. Il Garante aveva già precisato, nella sua Relazione 2004, che: ”…Spetta all’amministrazione destinataria dell’istanza entrare nel merito della richiesta e valutare se la specifica finalità del loro successivo utilizzo dichiarata da parte del richiedente sia conforme all’attività svolta dal soggetto medesimo, nonché se rientri effettivamente tra le ipotesi di cui al citato art. 177”. Il titolare del trattamento è il soggetto che “esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. Quindi, il titolare, avendo il potere di disporre quali dati personali raccogliere e registrare, entro quali limiti conservarli, da quali fonti attingervi, se e quali correzioni, integrazioni effettuare, quale uso farne, se e come divulgarli a terzi, se i dati personali possono essere riutilizzati, è strettamente legato alle finalità del trattamento, tant’è che la legge lo identifica proprio sulla base di ciò, cioè sulla scorta del potere decisionale in ordine alle finalità. Ovviamente, la società di marketing non può ricoprire questo ruolo (è l’associazione il titolare del trattamento), né può sostituirsi al Comune nel decidere la legittimità delle finalità per le quali le associazioni clienti richiedono i dati.
Questo fatto ha sicuramente rilevanza anche nella decisione del Ministero dell’Interno che vedrebbe scemare il potere decisionale e di controllo delle singole amministrazioni locali in merito alla questione.
A quanto già detto, si aggiunga la natura di società di diritto privato delle società di marketing, che, comunque, svolgono la raccolta per fini di lucro.
Dato questo quadro interpretativo, l’unica soluzione percorribile sembra essere quella che ogni associazione nomini le società di marketing responsabili del trattamento per la raccolta dei dati delle liste elettorali. Le società di marketing inoltreranno al Comune la richiesta per conto dell’associazione, allegando l’atto di nomina ed esplicitando le finalità che si intende perseguire con l’uso dei dati (meglio se allegando anche il proprio Statuto). I dati raccolti potranno, dunque, essere trattati dalla società di marketing in qualità di responsabile esclusivamente per la singola associazione richiedente.
FAQ n° 4 – Come disciplinare il rapporto ai fini della normativa sulla privacy con gli outsourcer che gestiscono campagne di fund raising dell’associazione?È sempre più frequente l’affidamento a soggetti terzi di operazioni di trattamento di dati personali e la realizzazione dei mailing o di azioni di telemarketing per attività di fund raising non costituisce eccezione.
Occorre ben definire i rapporti intercorrenti fra l’associazione e l’outsourcer. L’associazione è titolare del trattamento, poiché decide le finalità e la modalità di trattamento dei dati e le procedure di sicurezza da applicare per proteggere i dati da accessi non autorizzati o da trattamenti illeciti. Il titolare del trattamento ha facoltà di designare uno o più soggetti come “responsabile del trattamento”: questo ruolo è assegnato alla struttura che è preposta dal titolare allo svolgimento di una o più operazioni di trattamento. L’outsourcer è, a tutti gli effetti, un’entità a cui l’associazione affida una o più operazioni di trattamento dei dati, in funzione delle specifiche mansioni e competenze. Potranno esserci più outsourcer per l’esecuzione delle attività volte all’invio di un mailing o ad un’azione di telemarketing, quali: lo stampatore di lettere personalizzate, il confezionatore del messaggio, il service di data entry per la registrazione di dati di chi ha richiesto informazioni compilando un coupon, il call center, e, non per ultimo, il gestore della banca dati dei donatori in cui confluiscono i dati raccolti.
Tutti questi soggetti, singolarmente per le attività specificamente commissionate, dovranno assumere la qualità di responsabile del trattamento, poiché operano in base alle istruzioni dell’associazione titolare, sotto il diretto controllo di quest’ultima. Le istruzioni dovranno essere impartite per iscritto, in un atto appropriato, ad integrazione del o incluso nel contratto commerciale stipulato, che definisce le responsabilità ed i limiti operativi dell’outsourcer.
L’associazione titolare deve stabilire quali sono le finalità per le quali il responsabile può trattare i dati affidati, precludendo qualsiasi altra attività che non sia mirata all’esecuzione delle operazioni di trattamento delegate all’outsourcer. In altri termini, il responsabile sarà obbligato a trattare i dati nel rispetto dei criteri di liceità e correttezza, per le sole finalità definite dall’associazione e non potrà né utilizzarli per fini propri, né, tanto meno, comunicarli a terzi per loro autonomi trattamenti o diffonderli. Inoltre, dovrà individuare e istruire per iscritto gli “incaricati del trattamento”, vale a dire le persone fisiche che sono autorizzate a eseguire materialmente le operazioni di trattamento sui dati per i fini decisi dall’associazione. Altre istruzioni importanti da dettare sono riferite alle procedure di sicurezza da applicare per prevenire i rischi di perdita o distruzione dei dati, di trattamento illecito o di accesso non autorizzato agli stessi.
Il responsabile dovrà anche collaborare con il titolare per qualsiasi richiesta che pervenga dal donatore che eserciti i diritti di consultazione, modifica, cancellazione o opposizione al trattamento dei dati.
L’associazione ha l’obbligo di vigilare affinché l’outsourcer si attenga scrupolosamente e costantemente alle istruzioni che gli sono state impartite nel contesto dell’atto di conferimento della nomina di responsabile. Allo stesso modo, l’associazione ha l’obbligo di verificare che i requisiti che hanno influito sulla nomina di responsabile si mantengano per tutta la durata delle prestazioni eseguite dall’outsourcer, anche attraverso visite periodiche presso la sede ove opera il soggetto terzo. L’associazione deve, infatti, procedere ad uno screening dei requisiti dell’outsourcer prima di sceglierlo e designarlo quale responsabile del trattamento. La normativa prescrive che il responsabile deve necessariamente essere dotato di determinate caratteristiche: affidabilità, conoscenza, esperienza che assicurino costantemente la corretta applicazione delle disposizioni in materia di protezione dei dati personali. Senza questi requisiti, il soggetto non è da ritenersi idoneo alla preposizione a tale ruolo, poiché inattendibile per garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati.
Il responsabile risponderà, in solido con il titolare, di tutte le inosservanze normative e delle istruzioni impartite dall’associazione. Ciascun responsabile risponderà delle violazioni specificamente commesse nello svolgimento delle operazioni di sua stretta competenza, nella misura in cui non ha osservato le direttive impartite dall’associazione titolare o non si è attenuto alle prescrizioni normative. L’associazione non può, in ogni caso, essere mantenuta indenne dalle violazioni commesse dal responsabile, poiché ha il già citato obbligo di sorveglianza sul comportamento del responsabile e sulla verifica della sussistenza e conservazione dei requisiti che hanno deciso per la sua nomina.
FAQ n° 5 – Le associazioni devono sempre ottenere il consenso dei destinatari delle proprie campagne di fund raising?La risposta, come per la maggior parte delle domande, è: dipende. Occorre, innanzitutto premettere che si parla spesso di informativa e consenso come di un unico adempimento e come se fossero due facce della stessa medaglia, ma non è sempre così. La legge sulla privacy, infatti, prevede anche delle esclusioni di consenso, senza, peraltro, far decadere l’obbligo di informativa. Per quanto concerne il settore non-profit, il decreto legislativo 196/2003 ha introdotto delle semplificazioni in materia di consenso, applicabili al sussistere di determinate condizioni.Il consenso non è, infatti, richiesto se il trattamento dei dati è eseguito da associazioni, enti o organismi senza scopo di lucro, anche se non riconosciuti, in riferimento a coloro che hanno rapporti regolari o sono aderenti dell’organizzazione, per il perseguimento di scopi determinati e legittimi individuati dallo statuto, se esistente, ed a condizione che i dati non siano comunicati all’esterno dell’organizzazione (fatto salvo gli eventuali responsabili esterni, nei confronti dei quali non è corretto usare il termine di “comunicazione” ai fini privacy) e che siano date opportune garanzie nel contesto dell’informativa. Il donatore può considerarsi un “aderente” all’associazione, poiché con la propria azione ne ha sposato la causa: è perciò lecito l’invio di bollettini periodici di informazione sulle attività dell’associazione o d’invio di materiale informativo e di raccolta di fondi, nella misura in cui questi strumenti sono annoverati nelle pratiche gestionali strumentali al perseguimento della mission statutaria.Analogamente i dati degli associati o membri fondatori dell’associazione possono essere trattati per i medesimi fini. È importante, però, che i dati non siano comunicati a soggetti terzi per loro autonomi utilizzi (ad esempio, ad altre associazioni per proprie attività di fund raising), né trasferiti all’estero e che siano sottoposti a idonee procedure di sicurezza a tutela della riservatezza, dell’integrità e della disponibilità dei dati. Saranno queste, peraltro, le garanzie che l’associazione dovrà prestare al donatore, nel contesto dell’informativa resa secondo gli elementi prescritti dall’art. 13, d. lgs 196/2003 (finalità e modalità del trattamento, titolare, responsabile, categorie di incaricati che trattano i dati, diritti di accesso e di opposizione).La semplificazione è però applicabile solo se si tratta di dati di donatori “effettivi”. Al contrario, chi ha compilato una cartolina per avere informazioni su di un preciso progetto o su di una campagna, non è né aderente né, tanto meno, soggetto che ha regolare rapporto regolare con l’associazione. In questo caso, quindi, per inviare ulteriore materiale informativo a questa persona è indispensabile richiedere il consenso espresso.Altra fattispecie è rappresentata dalle aziende: i dati relativi allo svolgimento di attività economiche possono essere utilizzati anche senza il consenso per le azioni di fund raising. Un’ulteriore esclusione deriva, poi, dalla fonte “Pagine Gialle” da cui sono probabilmente tratti i dati. Per i dati acquisiti presso list brokers, occorre accertarsi che è stato effettivamente acquisito il preventivo consenso dei suspects: una dichiarazione di garanzia in tal senso deve essere, dunque, richiesta al list broker. Pur tuttavia, l’associazione non può esimersi dalla verifica, anche a campione, del consenso rilasciato dai suspects.
Un’ultima avvertenza è doverosa in merito all’invio di materiale informativo o richieste di adesione a campagne di fund raising tramite e-mail o fax. A prescindere dalla connotazione di donatore “effettivo” o “potenziale” e dalla sua natura giuridica (azienda o privato), è sempre necessario ottenere il preventivo consenso.
Unica eccezione è l’iscrizione ad una newsletter da parte dell’utente del sito Internet dell’associazione: in questo caso, il ricevimento di informazioni presso la casella di posta elettronica è una richiesta volontaria dell’utente e vige l’esclusione del consenso che la legge dispone in merito al trattamento finalizzato ad adempiere alle richieste avanzate dall’interessato.
FAQ n° 6 – Cos’è la notificazione ed è obbligatoria per le associazioni non-profit?
La notificazione è una semplice comunicazione che deve essere presentata al Garante attraverso una procedura telematica presente sul sito del Garante (http://www.garanteprivacy.it), e contiene gli elementi essenziali di descrizione dei trattamenti eseguiti dal titolare del trattamento (nel nostro caso, dell’associazione).
La nuova legge sulla privacy, entrata in vigore all’inizio del 2004, ha ristretto a specifici casi l’obbligo e non tutte le associazioni sono tenute a presentarla.
Escludendo tutti i casi che sicuramente non sono pertinenti alle associazioni non-profit, vediamo quali sono le circostanze che rendono obbligatoria la notificazione.
La prima situazione che rientra nei casi ove è prescritto l’obbligo riguarda la creazione di profili dei donatori (effettivi o potenziali), analizzando le abitudini o le scelte di acquisto o consumo. La selezione dei donatori in base all’importo donato o la frequenza di donazione per creare gruppi omogenei di comportamento (cluster) al fine, poi, di inviare un mailing mirato, è sicuramente un’operazione di profilazione e come tale è soggetta alla notificazione.
La normativa prescrive, poi, che devono essere notificati i trattamenti che coinvolgono dati sulla vita sessuale o la sfera psichica trattati da organismi senza scopo di lucro a carattere politico, filosofico, religioso o sindacale.
Innanzitutto l’obbligo risulterebbe attenere esclusivamente alle organizzazioni istituzionalmente a carattere politico, filosofico, religioso o sindacale. Immediatamente si può pensare, dunque, che, per esempio, un’associazione religiosa che presta servizio di assistenza a persone diversamente abili psichicamente o che hanno contratto il virus dell’HIV/AIDS a seguito del loro stato di omosessualità sia obbligata a presentare la notificazione. Sul punto è, però, intervenuto prontamente un provvedimento del Garante, che ha chiarito che non vanno notificati i trattamenti eseguiti da associazioni, enti od organismi che non hanno carattere politico, filosofico, sindacale o religioso, come per esempio le cooperative, che svolgono attività di ricovero ed assistenza a malati psichici.
Un breve accenno ad alcune notizie connesse alla presentazione della notificazione. Occorre pagare un diritto di segreteria pari a € 150,00 ed è necessario apporre la firma digitale. Se non si è dotati di firma digitale, ci si può avvalere di un intermediario abilitato, quali gli uffici postali che prestano il servizio di PT Business. Per questo servizio l’ufficio postale può richiedere il pagamento di un massimo di € 25,00.
FAQ n° 7 – I volontari possono trattare i dati dei donatori?
La legge sulla privacy che il trattamento dei dati personali può essere lecitamente eseguito soltanto dalle persone fisiche espressamente autorizzate dal titolare (nel nostro caso, dall’associazione) o, se nominato, dal responsabile.
Non ha rilevanza, ai fini del d. lgs 196/2003, se le persone autorizzate sono dipendenti, collaboratori o volontari: è ininfluente il rapporto instaurato con l’associazione.
È, viceversa, fondamentale che le persone autorizzate siano designate con atto scritto quali “incaricati del trattamento”. Gli incaricati del trattamento devono ricevere dettagliate istruzioni sui compiti loro affidati e che comprendono tanto i limiti operativi e le regole di comportamento da rispettare, quanto le misure di sicurezza logistiche e informatiche atte a proteggere i dati. Le persone incaricate (volontari, dipendenti, collaboratori) potranno trattare i dati soltanto per le finalità indicate nell’atto di nomina: per esempio, per fini di gestione dell’adesione all’associazione o per campagne di fund raising. Inoltre, l’atto di nomina deve indicare quali sono le categorie di dati a cui è consentito l’accesso (dati identificativi e di recapito, modalità di adesione, dati sensibili o altro) e quali sono le operazioni permesse (solo inserimento, modifica, cancellazione, aggiornamento o altro).
Le regole di condotta vanno dal rispetto della riservatezza e divieto di comunicare i dati a terzi, all’obbligo di controllare l’esattezza e la pertinenza dei dati rispetto alle attività svolte. Dovranno essere poi stabilite, per esempio, le procedure da seguire per custodire i dati su supporto cartaceo o elettronico, per accedere alle banche dati informatizzate ed i criteri per riportare in banca dati le eventuali manifestazioni di consenso espresse dal donatore. Il volontario, quindi, può lecitamente trattare i dati dei donatori se è stato nominato con atto scritto incaricato del trattamento e tale autorizzazione è circoscritta esclusivamente ai compiti che gli sono stati formalmente assegnati: il volontario non potrà svolgere attività diverse sui dati rispetto a quelle che gli sono state consentite con il documento di designazione.
Queste regole valgono anche nel caso in cui il volontario presti sporadicamente o per periodi limitati nel tempo il proprio servizio in associazione. È il classico caso di iniziative di raccolta di firme in piazza per specifici progetti: in queste occasioni i volontari sono spesso reclutati soltanto per lo specifico evento; ma, nonostante la loro breve permanenza al servizio dell’associazione, devono assumere il ruolo di incaricato del trattamento che sarà limitato alle attività connesse con l’evento gestito. L’incarico sarà revocato a fine evento.
Il titolare – o il responsabile – ha l’obbligo di vigilare sull’operato degli incaricati, per verificare che le istruzioni loro impartite siano rispettate e che il trattamento dei dati sia svolto in osservanza delle prescrizioni sulla protezione dei dati personali.
FAQ n° 8 – Come rispondere ai sostenitori che richiedono la cancellazione dei dati?
Occorre premettere che il diritto di cancellazione è spesso confuso, dall’uomo della strada, con quello che più correttamente la legge sulla privacy definisce “diritto di opposizione al trattamento dei dati per fini di invio di materiale pubblicitario”. Questa distinzione è bene sottolinearla, perché con il termine di “cancellazione” s’intende l’eliminazione “fisica” dei dati del sostenitore (effettivo o potenziale che sia). Viceversa, l’opposizione al trattamento dei dati è una “cancellazione logica”, che consiste nell’evidenziare nella banca dati che quella persona non desidera ricevere materiale informativo dell’associazione. La precisazione è fondamentale, poiché soltanto con una cancellazione logica si riesce effettivamente a rispettare la volontà della persona: nel caso in cui i suoi dati siano acquisiti da altre fonti (per esempio da un list broker), si ha la possibilità di escluderli dal mailing programmato e che se indirizzato anche ai sostenitori che si sono opposti al trattamento dei dati per fini di pubblicità sociale lederebbe realmente il loro diritto di “essere lasciati soli”.
La cancellazione logica può avvenire apponendo un simbolo distintivo in banca dati in corrispondenza del nominativo del sostenitore, affinché sia inibito l’uso dei dati per fini di realizzazione di campagne di fund raising ed è una procedura lecita e confermata dal Garante già nel giugno 2001. Un’alternativa altrettanto valida è la creazione di una “black list” in cui far confluire tutti i dati dei soggetti che hanno esercitato il suddetto diritto di opposizione e che sarà usata per operazioni di scontro con altre liste di potenziali sostenitori acquisite da terzi, al fine di eliminare i soggetti a cui la pubblicità dell’associazione non è gradita.
Nella maggior parte dei casi, il sostenitore (effettivo o potenziale) richiede la cancellazione dei suoi dati, non percependo correttamente la sfumatura che è stata dapprima chiarita, in effetti, desidera non ricevere più materiale pubblicitario dell’associazione.
Occorre poi precisare che non necessariamente l’associazione deve rispondere alla persona che si è opposta al trattamento dei dati: la normativa sulla privacy non prevede che l’obbligo di risposta. Quest’obbligo è circoscritto ai casi in cui la richiesta verte sul diritto di accesso ai dati, vale a dire sul diritto di conoscere quali sono i dati che l’associazione ha nei propri archivi (nome e cognome, indirizzo, importo donato o altro). Sarà, ovviamente, necessario rispondere se la persona lo richiede in modo esplicito. Non ci sono neppure delle norme che stabiliscono come debba essere avanzata la richiesta da parte dell’interessato: ciò, significa che può anche essere verbale (per esempio, con una telefonata). Allo stesso modo, la risposta può anche essere fornita oralmente.
A prescindere dalle regole sancite dalla normativa, si suggerisce, però, di fornire riscontro scritto alla persona, tanto per manifestare l’attenzione dell’associazione ai problemi di privacy, quanto per avere un supporto documentale che provi che si è data risposta.
Rispondendo alla richiesta è opportuno precisare proprio la differenza fondamentale fra “cancellazione fisica” e “cancellazione logica”, chiarendo che solo con la seconda modalità si può rispettare la volontà della persona.
Un’altra avvertenza utile è chiarire alla persona che saranno contrassegnati con un simbolo distintivo che ne impedisce l’uso per fini di marketing i dati esattamente come sono stati segnalati all’associazione e che, pertanto, potrebbero essere usati dati della stessa persona con indirizzo diverso o scritto in modo diverso e non riconoscibile dalle procedure automatizzate.
FAQ n° 9 – Le informazioni trattate dalle associazioni sono dati sensibili?
Occorre chiarire il concetto di “dato sensibile”, spesso erroneamente utilizzato con riferimento alle operazioni di trattamento di dati personali. La legge sulla privacy individua determinate categorie di informazioni a cui è attribuibile questo termine e non sono necessariamente quelle che comunemente sono annoverate nelle meglio definibili “informazioni riservate”. Ai fini della legge sulla privacy, il termine di “dato sensibile” è riferito esclusivamente ai dati idonei a rivelare lo stato di salute, le origini razziali o etniche, le convinzioni religiose, politiche, sindacali e filosofiche o l’adesione ad organismi aventi tali caratteri, e la vita sessuale.
Tutte le informazioni che fuoriescono da questa casistica non sono considerate dati sensibili.
Di conseguenza, non sempre le associazioni trattano dati sensibili: in particolare, le informazioni che concernono la carta di credito, eventualmente acquisite nel corso di donazioni, oppure le coordinate bancarie del donatore che utilizza la modalità del bonifico bancario (RID) per contribuire al sostegno dell’associazione non sono dati sensibili, ma, semmai, dati che sono normalmente qualificabili come informazioni di carattere riservato.
Al contrario, se un’associazione ha carattere religioso, i dati dei soci oppure dei suoi donatori, per il solo fatto di condividere la professione di fede dell’ente saranno da considerare di natura sensibile.
Alla stessa conclusione si può pervenire considerando i dati dei tesserati di un partito politico o di un’associazione sindacale.
Altri casi in cui ci si può trovare a trattare dati sensibili possono essere, per esempio, i seguenti: (i) associazioni che prestano servizi di assistenza a soggetti disabili o di recupero di tossicodipendenti o alcolisti; (ii) lasciti testamentari a favore dell’associazione in cui la persona dichiara le proprie convinzioni politiche o religiose o rivela dettagli sul proprio stato di salute; (iii) volontari che attestano la loro scelta di obiezione di coscienza per motivi legati alle proprie convinzioni politiche.
Immancabilmente, poi,<!–more–> le associazioni trattano dati sensibili di propri dipendenti o collaboratori per la normale gestione del rapporto di prestazione d’opera (assenze per malattia o per permessi sindacali).
Il trattamento di questi dati deve essere eseguito adottando delle misure di protezione, specie delle procedure di sicurezza, maggiormente restrittive rispetto a quelle che la legge prescrive per i dati comuni.
La profilazione dei donatori in funzione di dati sensibili (per esempio, loro convinzione politica) non è consentita, poiché è una forma di discriminazione. È vero che l’associazione che ha, per esempio, carattere religioso ha a disposizione soltanto dati sensibili dei propri donatori, ma in questo caso la profilazione avviene basandosi non su questa caratteristica, bensì su altre connotazioni del donatore, quali, per esempio: l’importo medio donato o la frequenza di donazione o l’età.
FAQ n° 10 – Il responsabile interno è obbligatorio per tutte le associazioni?
A prescindere dalla natura giuridica del titolare del trattamento, vale a dire del soggetto che decide perché, come e quali misure di sicurezza adottare nel trattamento dei dati personali, la designazione di un responsabile interno è facoltativa.
Il d. lgs 196/2003, infatti, stabilisce che il titolare può nominarlo facoltativamente. Allo stesso tempo, la normativa permette di nominare anche più responsabili del trattamento, in funzione delle loro specifiche aree di competenza e laddove si ravvisino necessità di suddivisione di compiti.
Il responsabile del trattamento interno ha il compito di sovrintendere a tutte le attività finalizzate ad ottemperare alle prescrizioni del d. lgs 196/2003, decidendo anche le procedure da seguire, le misure di sicurezza da adottare ed autorizzando le singole persone (volontari o dipendenti) a trattare i dati per quanto di pertinenza delle loro mansioni (ciò significa nominare i cosiddetti “incaricati del trattamento”).
Le piccole associazioni o con una struttura semplice, normalmente, non hanno l’esigenza di designare un responsabile del trattamento, poiché è l’associazione nel suo complesso (dunque, il titolare del trattamento) a espletare gli obblighi e gli adempimenti disposti dalla normativa.
Al contrario, laddove la struttura sia articolata e siano presenti anche uffici differenziati – amministrazione, rapporti con donatori effettivi e potenziali, fund raising, addetti ai sistemi informativi, sedi decentrate – è buona norma individuare più responsabili del trattamento, aventi competenze distinte, specifiche per la loro area di attività e di diretto controllo.
La scelta del responsabile non può essere casuale: il soggetto che andrà a rivestire questo ruolo deve essere dotato di determinate caratteristiche. In particolare, deve essere affidabile e competente per assicurare la corretta e costante applicazione delle prescrizioni in materia di protezione dei dati personali.
Una volta che è stato individuato il responsabile (o i responsabili), è necessario formalizzarne la nomina con un atto scritto, contenente le istruzioni da seguire, i compiti affidati e l’ambito di responsabilità di sua stretta pertinenza.
Il responsabile avrà autonomia decisionale, ovviamente entro i limiti di operatività stabiliti dal titolare nell’atto di nomina, sulle questioni che attengono il trattamento dei dati personali: dall’informativa e consenso alla designazione degli incaricati del trattamento, dalle attività di controllo sui compiti eseguiti dagli incaricati alla definizione delle misure di sicurezza da applicare. Dovrà anche svolgere periodicamente una relazione al titolare su tutti gli aspetti salienti della sua attività di responsabile e sollevare le criticità emergenti nella quotidiana gestione di dati personali. Infine, dovrà gestire, congiuntamente con il titolare (associazione nel suo complesso), i rapporti con il Garante, in caso sia necessario richiedere qualche autorizzazione o rispondere a istanze avanzate dall’autorità o collaborare nel corso di ispezioni e controlli condotti dal Garante.
Nell’esecuzione dei compiti, il responsabile dovrà analizzare scrupolosamente i flussi dei dati, i soggetti che li trattano, le categorie di dati trattati e le operazioni eseguite sugli stessi, al fine di poter decidere idoneamente le procedure correttive o integrative a quelle già in essere, affinché il trattamento dei dati avvenga in modo lecito e conforme alla normativa.
Il responsabile risponderà, in solido con il titolare, delle inosservanze normative ed entro i limiti di competenza emergenti dall’atto di nomina.
Il responsabile interno, nella sua qualità di coordinatore dell’applicazione delle norme sulla privacy, di supervisore e di decisore delle procedure di trattamento, dietro istruzioni del titolare, è una figura organizzativa estremamente importante, alla quale si affidano compiti determinanti nella tutela della riservatezza e dell’integrità delle informazioni su donatori e altri soggetti che hanno contatti con l’associazione. Non devono, quindi, sottovalutarsi la sua scelta né l’elencazione delle attività delegategli dal titolare.
FAQ n° 11 -Quali sono le regole per l’invio di email ai fini del fundraising?
La normativa sulla privacy impone regole restrittive per l’invio di e-mail con contenuto pubblicitario e ciò anche per la cosiddetta “pubblicità sociale” degli enti senza scopo di lucro.
Fatte le debite eccezioni, non applicabili al settore no-profit ed a parecchi altri settori, l’invio di e-mail pubblicitarie è lecito soltanto con il preventivo consenso del destinatario. Il consenso deve essere acquisito con la formula dell’opt-in (consenso espresso che permette di prestare o negare il consenso con le classiche caselle sì/no) e non deve essere condizionato. L’informativa che precede la richiesta di consenso deve essere trasparente rispetto all’uso delle coordinate di posta elettronica della persona o dell’azienda, evidenziando che, previo consenso, l’associazione invierà proprie informazioni a mezzo e-mail per fini, per esempio, di fund raising.
L’invio dell’e-mail pubblicitaria dovrà anche prevedere sempre una semplice informativa che chiarisca come il destinatario possa, in qualsiasi momento, ritirare il consenso dapprima prestato.
È quindi importante cautelarsi nel caso di liste e-mail fornite da terzi, richiedendo al list broker un’attestazione nella quale sia dichiarato che è stato acquisito il consenso per la comunicazione dei dati per fini di invio di e-mail pubblicitarie. L’associazione dovrà, poi, procedere anche a propri preventivi controlli, affinché sia accertata la correttezza della dichiarazione resa dal fornitore al riguardo.
Non è lecito scaricare dai siti Internet indirizzi e-mail per usarli per proprie campagne di fund raising prima di avere fornito l’informativa ed avere ottenuto il consenso per tale utilizzo. Il fatto che gli indirizzi e-mail sono reperibili facilmente sui vari siti Internet non ne autorizza l’uso per fini di marketing diretto: questi dati sono messi a disposizione degli utenti della rete per ben determinate finalità (avere utili riferimenti di contatto di una persona o di un’azienda per fini personali o per richiedere informazioni su prodotti o servizi erogati o per i fini istituzionali dell’azienda, per fissare incontri o ottenere preventivi, per fini di partecipazione a forum o newsgroup) fra le quali non è inclusa l’utilizzazione da parte di chiunque per proprie attività di marketing diretto.
Lo stesso si può dire per le e-mail che sono reperibili sulle Pagine Bianche o Pagine Gialle: la finalità della loro pubblicazione è permettere contatti interpersonali o professionali. Ciò significa che ogni ulteriore uso deve essere sostenuto da un preventivo consenso.
Queste regole ferree non sono applicabili se il donatore (effettivo o potenziale) ha spontaneamente richiesto di ricevere al proprio indirizzo di posta elettronica una newsletter o delle informazioni sistematicamente inviate sui progetti della medesima. In questo caso, vale la norma secondo cui il trattamento dei dati è ammesso senza il consenso dell’interessato se è necessario per rispondere ad una richiesta avanzata dal medesimo: se è l’utente ad avere richiesto l’invio della newsletter, quindi, non sarà necessario ottenere il suo consenso. La newsletter dovrà comunque sempre prevedere una formula sintetica di informativa che permetta al destinatario di richiederne la sospensione in qualsiasi momento e senza alcun onere a suo carico.
Queste regole sono applicabili anche per l’invio di pubblicità sociale a mezzo fax o Sms.
FAQ n° 12 -Quali sono le regole per pubblicare o diffondere delle immagini (foto, video) per far conoscere le proprie attività?
È un tema alquanto comune per tutte le associazioni nonprofit.
La ripresa e la diffusione di immagini rientrano in quelle che, ai fini privacy, possono considerarsi “manifestazioni occasionali del pensiero e dell’arte in ogni sua forma” e che sono disciplinate anche dal Codice deontologico dei giornalisti, in quanto quest’attività è equiparata all’attività giornalistica.
Il Codice deontologico dei giornalisti prescinde dall’acquisizione del consenso, anche se si tratta di dati sensibili, richiede di fornire un’informativa semplificata, ma obbliga al rispetto di altre regole di comportamento che tutelano il decoro e la dignità delle persone (specie se malate o se si tratta di minori) e che devono basarsi sul principio di “essenzialità dell’informazione”. Questo principio significa che la divulgazione di notizie di interesse pubblico o sociale è lecita e non lede la sfera privata della persona se è indispensabile in ragione della peculiarità ed originalità del fatto o della vicenda narrata o della descrizione dei modi particolari in cui il fatto è avvenuto.
Ciò premesso è però sempre consigliabile, anche al fine di contrastare e prevenire eventuali contestazioni dei soggetti ritratti o che hanno rilasciato testimonianze, richiedere loro la sottoscrizione di un testo di informativa e di consenso alla diffusione delle immagini (e suoni, se la voce è stata registrata e sarà diffusa al pubblico) ed un’autorizzazione specifica ad usare le immagini mantenendosi indenni da eventuali abusi delle immagini stesse che potrebbero essere eseguite da terzi.
Ovviamente, se i soggetti ritratti sono minorenni, essendo incapaci di agire, il loro consenso non sarà valido e dovrà essere rilasciato dall’esercente la potestà genitoriale.
Molto spesso è difficile acquisire il consenso di ciascuno dei soggetti ritratti (si pensi ad eventi di piazza, dove è ripresa la folla dei partecipanti) oppure se si documentano attività svolte in Paesi terzi ed i minori ritratti non hanno genitori ed è impossibile risalire alla persona che può legittimamente e validamente prestare per loro conto il consenso. In questi casi, saranno utilmente applicabili le regole del Codice deontologico dei giornalisti dapprima illustrate, cercando eventualmente di approntare utili accorgimenti per evitare un diretto riconoscimento dei soggetti ritratti se ripresi in situazioni di disagio (per esempio, sfocare i volti ed altri elementi che riconducono facilmente all’identità della persona).
FAQ n° 13 – Le associazioni possono utilizzare i dati dei donatori di altre associazioni per proprie attività di fund raising?
Le regole per la comunicazione dei dati personali a terzi per loro autonomi utilizzi aventi fini di pubblicità che le associazioni nonprofit devono rispettare sono le stesse imposte dal Codice sulla privacy agli altri titolari di trattamento (aziende od altri organismi privati).
Il donatore deve essere previamente informato, nel contesto degli elementi resi ai sensi dell’art. 13, d. lgs 196/2003, che i suoi dati personali saranno resi disponibili a terzi (altre associazioni) per loro autonomi usi aventi finalità di fund raising.
Di ciò informato, il donatore dovrà esprimere il consenso per tale operazione manifestandolo attraverso un’opzione “in positivo” (vale a dire con un “opt-in system”), presentata nel modulo (cartaceo oppure on-line) che compila, per esempio, per richiedere informazioni su un particolare progetto o per eseguire una donazione a sostegno dell’associazione che raccoglie direttamente i suoi dati.
Saranno, pertanto, lecitamente cedibili ad altre associazioni soltanto i dati personali degli interessati (donatori) che hanno prestato il loro consenso secondo le modalità sopra illustrate.
L’associazione alla quale sono comunicati i dati potrà utilizzarli per le proprie campagne di fund raising impostando le attività in maniera analoga alle altre situazioni dove le “cold lists” sono acquisite, per esempio, da list brokers.
Sarà utile per l’associazione che riceve i dati accertarsi che gli interessati abbiano prestato il loro consenso e, dunque, potrà richiedere all’associazione cedente una lettera di garanzia a tale proposito.
Inoltre, graverà sull’associazione utilizzatrice dei dati l’onere di eseguire, anche a campione, verifiche che le attestazioni riportate nella predetta lettera di garanzia sono veritiere (per esempio, eseguendo telefonate di verifica ad alcuni donatori).
FAQ n° 14 – È sempre lecito contattare le aziende per campagne di raccolta fondi?
Le attività di fund raising rivolte ad aziende od organismi assimilati (esempio: scuole, enti pubblici, associazioni) trovano una corsia preferenziale rispetto a quelle svolte nei confronti dei cittadini (privati). La legge sulla privacy pone, infatti, delle regole alleggerite per la raccolta ed il trattamento delle informazioni sulle aziende.
Innanzitutto, la liceità di trattamento è sancita, eccezion fatta per un caso specifico di cui si dirà oltre, dall’avere reso l’informativa, senza avere necessità di ottenere il consenso.
Le associazioni possono agevolmente, al pari di altri organismi, reperire i dati di contatto di aziende ed altri organismi dagli elenchi telefonici categorici (Pagine Gialle), la cui formazione si è ispirata ad un principio di massima semplificazione. Le regole per la formazione dei cosiddetti “elenchi categorici” che raccolgono nominativi di aziende, esercizi commerciali, liberi professionisti ed enti sono state ben più elastiche anche per il marketing diretto, contrariamente a quanto è successo per gli elenchi telefonici alfabetici che riuniscono tutte le utenze (privati ed aziende). Gli elenchi “categorici” sono per loro natura di carattere commerciale e promozionale, giacché contengono informazioni varie relative allo svolgimento di attività economiche ed equiparate a queste. Quindi, questa peculiarità non obbliga ad allinearsi con le prescrizioni dettate dal provvedimento del 15 luglio 2004 disciplinante gli elenchi alfabetici che richiede, per esempio, il consenso per l’uso dei dati degli abbonati per fini di pubblicità postale o telefonica.
Pertanto, agli “elenchi categorici” è applicabile la prescrizione generale che permette di prescindere dal consenso degli interessati, quando il trattamento attiene dati concernenti lo svolgimento di attività economiche (art. 24, comma 1, lettera d, d. lgs 196/2003). Ciò significa che è lecito utilizzare i dati degli “elenchi categorici” per contatti aventi fini di fund raising. Gli editori che pubblicano questi elenchi devono comunque omettere i dati identificativi dei soggetti che hanno espresso la loro volontà di non comparire negli “elenchi alfabetici”, compilando l’apposito modello o comunicandolo con modalità diverse.
Occorre fare attenzione, però, che la semplificazione attiene esclusivamente le attività di fund raising eseguite tramite il canale postale o telefonico. Rimane fermo l’obbligo di richiedere il preventivo consenso per le operazioni di fund raising eseguite via e-mail, fax, Sms, Mms o con chiamate senza intervento di operatore telefonico o altri sistemi automatizzati di chiamata.
Come conseguenza, le campagne di fund raising rivolte ad un target corporate potranno essere condotte secondo le stesse regole vigenti prima della nuova disciplina degli elenchi telefonici per i dati attinti dalle Pagine Gialle, sempre con particolare attenzione all’uso dell’indirizzo e-mail aziendale, lecitamente utilizzabile solo con consenso espresso dell’utente.
Un’altra fonte di raccolta di detti dati potrebbe essere il sito Internet dell’azienda che s’intende contattare: anche in questo caso, se si trae l’indirizzo postale o telefonico, l’unico adempimento richiesto è l’informativa, mentre se s’intende svolgere un’azione di e-mail marketing o fax marketing sarà indispensabile ottenere il consenso espresso (opt-in) dell’azienda (vale a dire, del suo legale rappresentante), prima di procedere all’uso dei dati.
FAQ n° 15 – Come sensibilizzare i volontari rispetto agli adempimenti privacy verso i donatori?
È insito nelle associazioni nonprofit – e molto di più rispetto ad altre realtà operative – il principio della riservatezza e del rispetto della confidenzialità delle informazioni che si gestiscono. Spesso, però, il generico ideale di tutelare il patrimonio informativo non comprende le puntuali regole che la normativa sulla protezione dei dati personali prescrive.
Il volontario, al pari di un dipendente o di un collaboratore con cui l’associazione ha un vincolo contrattuale ben definito, ha il dovere di conoscere quali sono gli obblighi da rispettare per garantire la tutela della riservatezza dei donatori effettivi e potenziali.
Il volontario deve, dunque, essere nominato incaricato del trattamento dei dati personali per le mansioni affidate ed anche se il suo contributo è limitato nel tempo (per esempio, ad una singola iniziativa e per un breve periodo, quale un evento in piazza), con istruzioni sulle finalità di trattamento dei dati, sulle modalità con cui gestirli e sulle operazioni eseguibili sui dati.
L’atto che conferisce la nomina di incaricato del trattamento può essere utilmente integrato da una “policy comportamentale” o “regolamento interno” dell’associazione. In affianco a tutto ciò, volto a preparare la persona allo svolgimento dei compiti di sua competenza, la legge sulla privacy impone l’obbligo di organizzare momenti di formazione, affinché gli incaricati del trattamento siano coscientemente informati sulle procedure da seguire nel trattamento dei dati personali.
La normativa prescrive che l’obbligo di formazione avvenga al verificarsi di particolari momenti della vita operativa e lavorativa della persona: inizialmente quando entra in organico (cioè quando viene inserito nell’associazione), e, poi, al verificarsi di qualsiasi rilevante variazione che abbia impatto sulle procedure di sicurezza e di organizzazione importanti per la corretta gestione dei dati personali o al mutare dei compiti svolti dalla persona.
La formazione deve vertere prioritariamente sulle procedure di sicurezza (sia informatica che “cartacea”, in merito, ad esempio, alla conservazione dei dati, alla loro elaborazione, alla trasmissione verso outsourcer) e sugli obblighi e processi che più direttamente hanno pertinenza con le funzioni espletate dal volontario (modalità di rendere l’informativa e richiedere l’eventuale consenso, modulistica da utilizzare per le varie attività di raccolta dei dati, quali dati possono essere utilizzati per le attività di fund raising e come e dove possono essere reperiti, possibilità o divieto di comunicare i dati ad altri soggetti, modalità di utilizzo dei dati direttamente ed indirettamente rilasciati dal donatore effettivo e potenziale, procedure da attivare dal momento della raccolta dei dati fino al loro successivo utilizzo).
Si evince facilmente che i corsi di formazione devono essere programmati costantemente e devono essere impostati, per quanto ai contenuti, sulle tematiche che risultano più critiche per i singoli ruoli. I corsi di formazione non devono essere “certificati”, né è imposto che debbano essere necessariamente tenuti da scuole o istituti o centri specializzati (anche perché, ad oggi, non ne esistono di specifici). Gli eventi formativi possono essere tenuti direttamente dall’eventuale responsabile del trattamento dell’associazione che, per definizione, è il soggetto che ha conoscenza puntuale delle norme in materia, oppure da esperti di settore e consulenti che prestano servizio di assistenza privacy all’associazione.
Edizioni Philanthropy
Festival del Fundraising
Mailing.fundraising.it
Librinonprofit
Master in Fundraising
Nonprofitlavoro.it
Philanthropy.it