No-profit e GDPR

Anche l’attività delle organizzazioni no-profit deve fare i conti con l’entrata in vigore del GDPR.

Il Regolamento UE 679/2016 non fa alcuna distinzione tra attività commerciali e no-profit, imponendo anche alle realtà del terzo settore di adeguarsi ai principi della data protection entro il 25 maggio 2018, senza alcuno sconto.

Occorre, pertanto, impostare una corretta roadmap che tenga conto delle specificità di queste organizzazioni, la cui attività tipica è costituita dalla raccolta di fondi per sostenere cause e progetti meritevoli e non dalla ricerca dell’engagement del consumatore o del cliente.

Poiché il “core business” delle organizzazioni no-profit è basato sull’attività di direct marketing, dobbiamo innanzitutto verificare se e in quale misura si possano estendere anche a queste realtà le regole generali in materia (un utile riferimento, anche sotto il profilo pratico, è la guida pubblicata dall’ICO sul direct marketing che potete trovare qui).

Nel caso delle charities, il principale (benché non esclusivo) interessato che viene in considerazione è il donatore, i cui dati di contatto costituiscono un patrimonio vitale per l’organizzazione perché è tramite questi dati personali che i potenziali sostenitori vengono tenuti al corrente dell’attività svolta, dei progetti realizzati con i fondi donati e, naturalmente, delle esigenze connesse ai progetti futuri in relazione ai quali viene richiesto, appunto, il loro contributo: inviti a donare, a partecipare a eventi, a compagne, a sostenere le attività dell’organizzazione, sono strumenti quotidiani per le organizzazioni no-profit.

Quale tipo di accorgimenti richiede, quindi, il GDPR per consentire all’organizzazione no-profit di continuare legittimamente a sollecitare l’aiuto dei singoli nello sviluppo dei propri progetti?

Sappiamo che l’art. 6 del GDPR prevede sei basi del trattamento, tra le quali le organizzazioni no-profit dovranno individuare quella corretta per continuare a svolgere la loro attività di direct marketing: la base giuridica principale del trattamento sarà sicuramente il consenso in alternanza, come vedremo, con il legittimo interesse.

Per quanto riguarda il consenso, come ho già scritto in un mio precedente articolo (che potete trovare qui), occorre tenere presente che la manifestazione di volontà dell’interessato è valida solo se il consenso è stato reso in modo libero, specifico e informato: nella pratica delle organizzazioni no-profit ciò significa che i donatori potranno essere oggetto di attività di direct marketing solo se hanno acconsentito, con un comportamento positivo (ad esempio selezionando l’apposito box di autorizzazione), ad essere contattati tramite lo specifico canale scelto al momento del rilascio del consenso (posta, email, sms, telefono, etc.).

Per quanto riguarda il legittimo interesse, in molti casi le organizzazioni no-profit potranno utilizzare tale base giuridica per sviluppare le loro attività di direct marketing in quanto il GDPR prevede specificamente l’utilizzo di tale base giuridica in relazione alla finalità tipica di una “charity“, che è proprio quella di sollecitare i singoli per raccogliere fondi a sostegno di una determinata causa benefica.

In questo caso secondo caso, il bilanciamento tra il legittimo interesse dell’organizzazione no-profit e l’interesse del destinatario della comunicazione si ottiene permettendo a quest’ultimo di esercitare (in modo agevole) il proprio diritto a non ricevere (più) tali comunicazioni.

Cercando di schematizzare le varie ipotesi che possono venire in considerazione, si può affermare, in linea generale, che l’organizzazione no-profit, per l’invio di comunicazioni di direct marketing:

  1. tramite posta ordinaria, potrà utilizzare la base giuridica del consenso o, in via alternativa, del legittimo interesse, permettendo sempre all’interessato di opporsi in qualsiasi momento al trattamento o di revocare il consenso per il futuro;
  2. tramite email o sms, in via prevalente, attraverso il rilascio del consenso da parte dell’interessato. Nel caso di donatori storici e continuativi, poi, benché la regola generale (prevista dal nostro Garante, in particolare, con il provvedimento generale del 24 febbraio 2015) imponga per le attività di direct marketing la cancellazione dei dati una volta trascorsi 24 mesi, si ritiene che l’organizzazione potrà continuare a trattare i dati del donatore anche dopo tale termine utilizzando quale base giuridica il legittimo interesse. In questo caso, è comunque opportuno che sia comunicato al donatore, tramite una specifica informativa, che si intende continuare a trattare i suoi dati per le finalità già in precedenza descritte e note, permettendogli, quindi, di opporsi ad ulteriori trattamenti, se così desidera;
  3. tramite telefono, considerata l’invasività di tale mezzo di comunicazione, in linea di massima, solo in base al consenso.

Occorre, inoltre, ricordare alcune ipotesi particolari:

  • nel caso vengano utilizzate delle Gift card per donare, ciò non significa che l’organizzazione, in seguito a questa donazione, possa considerare legittima l’eventuale ulteriore attività di direct marketing verso questo donatore, in assenza di una chiara manifestazione di consenso in tal senso;
  • nel caso vengano disposti dei legati testamentari a favore dell’organizzazione no-profit, spesso l’organizzazione resterà in contatto con i familiari del donatore per la gestione del lascito. I rapporti con gli eredi del donatore dovranno, tuttavia, essere impostati alla massima trasparenza e chiarezza possibile: pertanto, nelle comunicazioni, l’organizzazione no-profit dovrà evitare di strumentalizzare questa occasione per trattare i dati degli eredi per finalità ulteriori, come avverrebbe qualora si tentasse di fidelizzare anche questi ultimi alla propria “causa”. In questo caso, infatti, l’organizzazione violerebbe il principio di liceità del trattamento dei dati perché li tratterebbe per un finalità diversa senza aver prima richiesto il consenso.

Il software CRM normalmente utilizzato dalle organizzazioni no-profit può sicuramente svolgere un ruolo importante per:

  • aiutare l’organizzazione a registrare il consenso e le preferenze dei singoli donatori;
  • permettere di esprimere ai singoli il proprio consenso tramite basilari ed intuitivi sistemi di opt-in;
  • consentire all’interessato di revocare facilmente il consenso;
  • permettere la portabilità dei dati dei donatori.

Naturalmente, qualora l’organizzazione no-profit mutasse le proprie finalità e scopi, sarà necessario richiedere/rinnovare i consensi in precedenza raccolti dai propri donatori in relazione alla precedente finalità.

Infine, occorre che anche le organizzazioni no-profit adottino una privacy policy impostata alla massima chiarezza, trasparenza e concisione, come richiede l’art. 12 del GDPR, specificando dettagliatamente le singole attività di trattamento, illustrando i diritti dei donatori (ivi compresa la facoltà di chiedere in ogni momento di interrompere l’attività di direct marketing), garantendo la formazione del proprio personale e dei propri volontari nel trattamento dei dati, etc.

Il percorso di adeguamento al GDPR rappresenta, insomma, anche per le organizzazioni no-profit un’ottima occasione per dimostrare la propria serietà reputazionale e, dunque, rinforzare la fiducia dei propri donatori, sostenitori, volontari e sponsor nello sviluppo dei progetti. 

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Terzo settore e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!