Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel rispetto della legge - festival ICT 2015
1. Avv. Luca Bolognini
Founding Partner ICT Legal Consulting
Presidente Istituto Italiano per la privacy
1
Privacy on line e
non profit (onlus,
ONG, associazioni,
enti, partiti)
2. Trattare dati senza scopo di
lucro: quali norme si applicano
Direttive 95/46/EC e 2002/58/EC
Codice Privacy (D.Lgs. 196/2003): da evidenziare in
particolare l’articolo 24 e l’articolo 26
Autorizzazione Generale Garante per la protezione dei dati
personali n. 3/2014 e ss. aa. (residualmente l’Autorizzazione
n. 2/2014 per i dati su salute e vita sessuale)
3. Trattare dati senza scopo di
lucro: quali norme si applicano
Articolo 24 comma 1 lett. h) del Codice Privacy
(per dati personali comuni):
Il consenso non è richiesto, oltre che nei casi previsti nella Parte
II, quando il trattamento:
h) con esclusione della comunicazione all'esterno e della
diffusione, è effettuato da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, in riferimento a soggetti
che hanno con essi contatti regolari o ad aderenti, per il
perseguimento di scopi determinati e legittimi individuati dall'atto
costitutivo, dallo statuto o dal contratto collettivo, e con modalità di
utilizzo previste espressamente con determinazione resa nota agli
interessati all'atto dell'informativa ai sensi dell'articolo 13
4. Trattare dati senza scopo di
lucro: quali norme si applicano
Articolo 26 comma 4 lett. a) del Codice Privacy:
I dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, a carattere politico,
filosofico, religioso o sindacale, ivi compresi partiti e movimenti
politici, per il perseguimento di scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente
ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità
hanno contatti regolari con l'associazione, ente od organismo, sempre
che i dati non siano comunicati all'esterno o diffusi e l'ente,
associazione od organismo determini idonee garanzie relativamente ai
trattamenti effettuati, prevedendo espressamente le modalità di utilizzo
dei dati con determinazione resa nota agli interessati all'atto
dell'informativa ai sensi dell'articolo 13
5. Trattare dati senza scopo di
lucro: quali norme si applicano
Articolo 37 comma 1 lett. c) del Codice Privacy:
Notificazione al Garante
Il titolare notifica al Garante il trattamento di dati personali cui intende
procedere, solo se il trattamento riguarda:
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale
6. Trattare dati senza scopo di
lucro: quali norme si applicano
Articolo 167 del Codice Privacy:
Il delitto di illecito trattamento dei dati è applicabile alle persone
operanti in una non profit? Permangono dubbi sulla qualificazione
del «profitto» mentre certamente può configurarsi il dolo specifico
di «recare un danno ad altri»
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé
o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130,
ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento,
con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione
o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé
o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e
11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da
uno a tre anni.
7. Trattare dati senza scopo di
lucro: quali norme si applicano
Autorizzazione n. 3/2014 - Autorizzazione al trattamento dei dati sensibili
da parte degli organismi di tipo associativo e delle fondazioni
L'autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per
il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o
agonistiche di tipo non professionistico, di istruzione anche con riguardo alla libertà
di scelta dell'insegnamento religioso, di formazione, di ricerca scientifica, di
patrocinio, di tutela dell'ambiente e delle cose d'interesse artistico e storico, di
salvaguardia dei diritti civili, nonché di beneficenza, assistenza sociale o socio-
sanitaria, per far valere o difendere un diritto anche da parte di un terzo in sede
giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione
nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti
collettivi, per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto
stabilito dalle leggi e dai regolamenti in materia. Per i fini predetti, il trattamento dei dati
sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di
indirizzari e di altri documenti necessari per la gestione amministrativa
dell'associazione, della fondazione, del comitato o del diverso organismo, o per
l'adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
8. Trattamenti digitali di dati da
parte di non profit
Gestione amministrativa/contabile delle adesioni e dei contatti via
web/app
Comunicazioni automatizzate di servizio o istituzionali (es. email di
conferma di adesione o di aggiornamento su eventi organizzati
dalla non profit inviate ad aderenti o soggetti in contatto regolare
con l’organismo)
E-Donations e E-Commerce (profit residuale)
Profilazione digitale di dati non sensibili di aderenti e soggetti in
contatto regolare
Profilazione digitale degli utenti on line
Direct Marketing per raccolta fondi con sistemi automatizzati
No consenso
Area dubbia
Consenso
9. Trattamenti digitali di dati da
parte di non profit
Legittima la profilazione digitale di dati sensibili da parte di
organismi non profit?
A mio parere, sì ma solo nei limiti e per gli scopi specificati
nell’Autorizzazione n. 3/2014 (scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove
esistenti) e nel rispetto dei principi ex art. 11 del Codice Privacy e solo
con riferimento ad associati, soci, aderenti, sostenitori o sottoscrittori,
nonché ai soggetti che presentano richiesta di ammissione o di adesione
o che hanno contatti regolari con l’organismo non profit; a soggetti che
ricoprono cariche sociali o onorifiche; a beneficiari, ad assistiti e a fruitori
di attività o servizi prestati dall'organismo, limitatamente ai soggetti
individuabili in base allo statuto o all'atto costitutivo o comunque a coloro
nell'interesse dei quali gli organismi possono operare in base ad una
previsione normativa
10. Trattamenti digitali di dati da
parte di non profit
Legittima la profilazione on line (su siti, app, social) da parte
di organismi non profit?
Se la slide precedente è vera, in caso di profilazioni di dati degli
utenti on line – per esempio via web o app – in generale legittime
se operate nel rispetto del Provvedimento Generale sui cookie
dell’8 maggio 2014 e delle Linee Guida sulla profilazione del 19
marzo 2015 del Garante, potrebbero tuttavia presentarsi delle
complicazioni. Infatti, accade che l’interazione con il sito web o la
app o la pagina social di un organismo non profit sia idonea a
rivelare dati sensibili degli utenti (e in tal caso si applicherebbero i
limiti ex Autorizzazione n.3 del Garante): taluni organismi non
profit hanno «tocco di Mida» per la particolare attività che
svolgono e trasformano anche dati comuni in dati sensibili
11. Trattamenti digitali di dati da
parte di non profit
Le liste di indirizzi e contatti di aderenti e soggetti in contatto
regolare: sono dati sensibili o no?
Di nuovo il «tocco di Mida»
Sì, anche gli indirizzari sono considerabili sensibili se l’adesione
e/o il contatto regolare con l’organismo non profit sono idonei a
rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale
12. Strategia privacy digitale per il
non profit
Tutelare il patrimonio informativo vitale dell’ente non profit e
valorizzare i database senza frenare le attività, mediante:
• Censimento dei trattamenti digitali, degli interessati e degli utenti
• Aggiornamento del perimetro degli scopi legittimi perseguiti (anche
con integrazioni statutarie)
• Data Protection by Design (legale+ICT) applicata al database:
stratificazione e previsione di casistiche incrociate di utilizzabilità dei
dati a seconda dei fini, delle modalità e degli interessati coinvolti
• Revisione delle informative e, quando necessari, dei consensi
• Irrobustimento delle clausole contrattuali e/o revisione delle relazioni
con i fornitori esterni (list brokers, social networks, agenzie di
comunicazione digitale)
13. Grazie dell'attenzione
Domande?
Via email luca.bolognini@ictlegalconsulting.com
ma anche via social network
http://www.facebook.com/luca.bolognini
http://twitter.com/lucabolognini
https://it.linkedin.com/in/lucabolognini