Provvedimento del Garante Privacy del 24 ottobre 2018
Fatto
Alcune associazioni no profit hanno avanzato al Garante per la protezione dei dati personali una richiesta di parere circa la possibilità di conoscere i nominativi e i dati di contatto dei donatori che, nell’ambito di raccolta fondi effettuati tramite sms solidali o tramite chiamate in fonia da rete fissa, elargivano donazioni.
La finalità a cui tende il trattamento dei dati dei donatori da parte delle associazioni no profit è quella di poter ricontattare il donatore per informarlo sugli esiti della campagna di raccolta fondi a cui ha partecipato e informarlo sulle nuove iniziative benefiche promosse dall’Ente stesso.
Al fine di formulare un compiuto parere il Garante ha richiesto informazioni non solo agli Enti, ma anche agli Operatori telefonici che gestiscono la raccolta fondi tramite sms o chiamate telefoniche. Questi ultimi, interrogati dal Garante, hanno in prima battuta spiegato che la trasmissione dei dati richiesti dagli Enti sarebbe avvenuta solo dopo l’acquisizione da parte dei donatori del consenso ad essere ricontattati dall’Ente non profit. Hanno, poi, avanzato due ipotesi di modalità di raccolta del consenso a seconda dello strumento utilizzato per la donazione (sms o chiamata da numero fisso).
In caso di donazione tramite sms, la proposta degli operatori telefonici era quella di inviare al donatore un sms gratuito (successivo a quello in cui si dà notizia del buon esito della donazione) contenente una sintetica informativa, con rinvio a quella più estesa presente sul sito dell’operatore telefonico stesso e dell’Ente, e una richiesta di consenso alla comunicazione del numero di telefono all’Ente per un eventuale ricontatto. Il consenso del donatore verrebbe rilasciato tramite l’invio di un sms, quale risposta all’sms ricevuto, con la dicitura “SI”. Al ricevimento del suddetto sms l’operatore invierebbe un ulteriore sms di conferma della scelta effettuata dal donatore.
In caso di donazione tramite chiamata da rete fissa, la proposta presentata al Garante era quella di fornire in modalità vocale, anche in questo caso dopo aver dato conferma del buon esito della donazione, una breve informativa, rimandando a quella completa presente sul sito internet dell’operatore telefonico e dell’Ente, e richiedendo il consenso mediante la digitazione di un apposito tasto. L’operatore telefonico poi darebbe conferma, sempre in modalità vocale, dell’avvenuta acquisizione del consenso.
Il parere del Garante
Il Garante, acquisite le informazioni necessarie da parte degli Enti no profit e dagli operatori telefonici, ha formulato il proprio parere sul quesito sottoposto alla sua cognizione, partendo dal profilo della titolarità del trattamento dei dati.
In riferimento a questo primo aspetto, al fine di individuare i soggetti che possono essere riconosciuti quali titolari del trattamento ha analizzato la normativa in materia rappresentata dal Piano di numerazione nazionale che nell’ambito dei servizi di raccolta fondi per fini di utilità sociale da parte di Enti, individua le relative modalità di utilizzo di tali servizi, demandando agli operatori telefonici il compito di adottare un Codice di autoregolamentazione che definisca, tra l’altro, le modalità di conoscibilità dei donatori.
Esaminato il quadro normativo e le peculiarità della regolamentazione delle donazioni tramite sms solidali e chiamate da rete fissa, il Garante ha ritenuto che le operazioni di trattamento dei dati personali dei donatori per finalità di raccolta fondi tramite sms e chiamate, sono poste in essere da una pluralità di attori, che partecipano congiuntamente alla determinazione delle finalità e dei mezzi del trattamento in rapporto di contitolarità, attraverso l’individuazione all’interno del Codice di autoregolamentazione, da parte degli operatori telefonici, delle regole per l’assegnazione delle numerazioni ad hoc e la decisione se aderire o meno alla specifica campagna di raccolta fondi, e attraverso l’elaborazione, da parte degli Enti no profit.
Successivamente il Garante passa ad esaminare le finalità del trattamento da parte degli Enti, e cioè quella di informare il donatore degli esiti della campagna fondi a cui ha partecipato e la presentazione di nuove eventuali campagne di solidarietà.
In riferimento alla prima finalità, il Garante ritiene che il presupposto di legittimità del trattamento è riscontrabile nel legittimo interesse del titolare, in quanto la rendicontazione seppur non prevista da uno specifico obbligo di legge, appare utile a garantire la più ampia trasparenza e conoscibilità delle attività svolte dagli Enti benefici. Con riferimento alla seconda (la presentazione di nuove eventuali campagne di solidarietà), il presupposto di legittimità appare individuabile nel solo consenso dell’interessato raccolto dall’Operatore telefonico nel corso delle operazioni di donazione.
Il Garante conclude il suo parere esponendo qualche riflessione sulla proposta di acquisizione del consenso illustrata dagli Operatori telefonici, esprimendosi, in prima battuta sul contenuto dell’informativa fornita agli interessati, suggerendo che questa debba chiarire il ruolo di contitolarità dei vari soggetti coinvolti, nonché esplicitare in modo chiaro che il consenso prestato dall’interessato si riferisce alla finalità di fidelizzazione.
In secondo luogo il Garante chiede che venga predisposto un sistema più fluido per l’esercizio dei diritti da parte dell’interessato con particolare attenzione all’esercizio del diritto di revoca del consenso prestato, il quale deve essere esercitato con la stessa facilità con cui è stato accordato.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento