ARGOMENTO:

Per potere contattare le persone, allo scopo di offrire aiuto materiale e morale (e limitatamente a queste specifiche ed esclusive finalità nonchè limitatamente ai recapiti telefonici), si ritiene che le associazioni, anche di matrice religiosa, debbano:
a) avere realizzato gli adempimenti previsti dal Gdpr (esemplificativamente: rispetto dell’articolo 5 Gdpr, registri del trattamento, nomina dei responsabili esterni del trattamento, valutazione dei rischi, nomina, istruzione e formazione dei propri autorizzati, valutazione di impatto privacy (art. 35), policy data breach, nomina del DPO, informativa agli interessati disposizioni in materia di privacy elettronica con riguardo ai siti internet e alle comunicazioni elettroniche);
b) quanto al primo contatto, si può basare il trattamento sul legittimo interesse, facendone menzione nell’informativa e previo bilanciamento di interessi;
c) garantire il diritto di opposizione;
d) non registrare i nominativi senza consenso degli interessati;
e) dopo il primo contatto, se la persona contattata ha mostrato interesse, ma i contatti rimangono episodici, i trattamenti dei dati (compresa la registrazione del nome) del soggetto contattato dai componenti dell’associazione religiosa potranno essere giustificati solo con il consenso esplicito dell’interessato, ripetuto eventualmente ad ogni contatto, in vista del successivo. La mancanza di consenso rende illecita la conservazione del dato;
f) invece, in caso di disinteresse, l’unica base giuridica applicabile è il consenso esplicito (articolo 9, parag., 2, lettera a): con la conseguenza che, in assenza di consenso, non è in alcun modo lecita la registrazione di dati personali, anche al solo fine di conservare nota dell’espresso disinteresse;
g) solo se con un soggetto si addivenga a intrattenere contatti regolari, in alternativa al consenso, si applica l’articolo 9, parag., 2, lettera d).
Tutti i soggetti coinvolti nell’associazione devono essere edotti delle precauzioni prescritte.
Per una trattazione più analitica dell’argomento si rinvia a
www.federprivacy.org/informazione/primo-...e-rispettare-il-gdpr

Gentilissimo Enzo,
cercherò di essere molto semplice, perché nel mio intervento non volevo creare confusione, ma semplicemente dare una risposta più specifica del semplice sì o no. Intanto, come ho avuto modo di specificare alla gentilissima Sabrina, se queste iniziative di sostegno morale o quant'altro sono fatte da privati cittadini volenterosi, non hanno nulla a che fare con il GDPR, se non ovviamente nel rispetto del buon comportamento verso il prossimo. Invece il riferimento al "marketing" era solo esemplificativo al fatto che essendoci un trattamento dati va comunque stabilito se è necessario dare un informativa ed eventualmente avere un consenso, cosa che deve valutare l'Associazione in quanto Titolare del trattamento dei dati con il proprio consulente, e nello stesso tempo rispettando il diritto della persona a non voler essere contattata (in qualsiasi forma), come recitano i diritti dell'interessato secondo il GDPR al trattamento dei dati, in questo caso con il "diritto di opposizione". Per questo, preventivamente, ma non obbligatoriamente, potrebbe essere utile il Registro delle opposizioni. Il fatto che un'associazione possa o meno avere i mezzi per essere a norma GDPR è una realtà conosciuta, realtà che affrontano anche per le micro o piccole aziende, che non hanno budget consistenti ma devono comunque essere a norma GDPR per non essere sanzionati. Comunque sia, per concludere anche qui il più semplicemente possibile, le associazioni anche non riconosciute, le organizzazioni assistenziali o di volontariato, le associazioni sportive professionali o dilettantistiche, le associazioni culturali, le fondazioni, enti, consorzi od organismi senza scopo di lucro, dotati o meno di personalità giuridica, comprese le organizzazioni non lucrative di utilità sociale (Onlus) le chiese, associazioni o comunità religiose e l'elenco sarebbe ancora lungo, devono adeguarsi al GDPR. Le suggerisco la lettura della Circolare Circolare Federprivacy n. 1-2019 (Associazioni ed enti senza scopo di lucro alla luce del Gdpr) disponibile al link: www.federprivacy.org/circolari-federpriv...o-alla-luce-del-gdpr

Gentilissima Sabrina,
se non fa parte di un'associazione la considerazione fatta nello specifico non la riguarda, il privato cittadino non ha adempimenti legati al GDPR se non una correttezza personale nel rispetto del buon comportamento verso il prossimo, cosa che sicuramente lei fa già personalmente.

Io non faccio parte di un'associazione, ma in questo periodo in cui sono (come quasi tutti) confinata a casa, anche a me fa piacere telefonare ai miei vicini di casa e colleghi di lavoro per sentire come stanno e se hanno bisogno di qualcosa per aiutarli, e magari dare loro anche una parola di conforto in base alle mie credenze religiose, e poichè di diversi non ho il numero vado a cercarlo nelle pagine bianche. Non capisco però perchè dovrei essere soggetto ad adempimenti del Gdpr o del Registro delle Opposizioni. Sarebbe interessante poter fare chiarezza su questo argomento, specialmente in questo periodo di emergenza Coronavirus in cui tutti siamo chiamati a fare qualcosa per il prossimo.

Non mi è chiara la spiegazione che è stata data. Sembrerebbe quindi che le associazioni di volontariato possano telefonare agli abbonati prendendo i loro numeri negli elenchi delle pagine bianche e utilizzarli senza il consenso degli interessati a condizione che essi non siano iscritti nel Registro delle Opposizioni. In questo caso mi sembra improbabile che una associazione locale possa avere i mezzi e le capacità per fare la verifica delle liste degli abbonati. Peraltro, mi viene difficile assimilare le attività di volontariato a favore della comunità con quelle di telemarketing svolte generalmente dai call Center.

Le Associazioni di Volontariato (ODV), e di Promozione Sociale (APS), e in generale per gli Enti del Terzo Settore (ETS) devono essere a norma GDPR nelle attività svolte. Buona parte delle norme del GDPR si applicano anche alle ODV e APS ed in generale agli Enti del Terzo Settore, che sono “titolari del trattamento” se e ogni qualvolta svolgono al loro interno anche una sola delle operazioni che concretano un trattamento di dati personali, decidendo la finalità e le modalità del trattamento stesso. Il trattamento di dati svolto da una ODV o comunque da un ETS non ha fini esclusivamente personali, comporta molte volte una comunicazione sistematica, e rientra pertanto nell’ambito di applicazione delle norme del GDPR, ed in particolare di tutte le norme applicabili agli enti privati, quali sono le associazioni e le fondazioni.
Alla domanda se possono utilizzare i numeri e gli indirizzi degli elenchi telefonici per campagne di sensibilizzazione o fundraising? Possono utilizzare gli indirizzi e-mail o il fax o gli sms o i social network? È consentita questa attività ai sensi del GDPR? Molto spesso si pensa che i dati contenuti negli elenchi telefonici (es. indirizzo dell’abitazione, numero di telefono o di fax o di cellulare, indirizzo mail) o in internet (es. numero di telefono e mail) o in elenchi pubblici siano liberamente utilizzabili per il semplice fatto di essere liberamente accessibili e quindi a disposizione di tutti. In realtà ciò non è vero. La materia era regolata dall’art. 24 del (D.lgs. n. 196/2003), ora abrogato, secondo cui erano utilizzabili senza previo consenso dell’interessato i dati “provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati”. Il Garante aveva tuttavia precisato che l’utilizzo e trattamento di tali dati accessibili a tutti deve avvenire solo se le finalità del trattamento (es. marketing) è compatibile con le finalità che giustificano la presenza dei dati sulla fonte pubblica. Tale principio è stato sostanzialmente ribadito dal GDPR all’art. 6 comma 4, secondo cui un trattamento svolto con una finalità diversa (es. marketing) da quella per la quale i dati personali sono stati raccolti (da terzi, ad esempio appunto per la pubblicazione nei registri o la diffusione on line) può avvenire senza il consenso dell’interessato solo se “il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti” (valutazione che spetta al Titolare che vuole svolgere l’attività diversa). Diverso discorso potrebbe riguardare i dati personali contenuti negli elenchi categorici (es. pagine gialle, pagine utili), che hanno natura commerciale e sono utilizzabili per scopi diversi dalla comunicazione personale e quindi forse anche per iniziative commerciali e non profit, senza dover richiedere un previo consenso. Quindi certamente le Associazioni possono contattare telefonicamente o spedire posta cartacea, per raccolta fondi o sensibilizzazione, alle persone, a meno che la persona non abbia esercitato il diritto di opposizione nei Registri pubblici delle opposizioni (in relazione agli elenchi telefonici il registro delle opposizioni è stato previsto e regolato in Italia con D.P.R. 178 del 7.9.2010 e risulta alla pagina web www.registrodelleopposizioni.it; è prevista dalla recente L.n. 5/2018 anche l’istituzione di un Registro delle opposizioni riferito all’utilizzo dei numeri di cellulare e a tutti i numeri riservati non presenti negli elenchi telefonici pubblici). Sarebbe comunque consigliabile, per evitare problemi che hanno di recente affrontato vari gruppi religiosi, consultare il vostro DPO o il vostro consulente privacy che saprà nei particolari la vostra attività e quindi il trattamento dei dati che fate.