I donatori che hanno aderito attraverso sms solidali o telefonate da rete fissa a campagne di raccolta fondi promosse da enti no-profit potranno essere informati sull’esito delle iniziative e, se intendono essere ricontattati per nuove campagne, potranno dare il loro consenso in modo semplice tramite il gestore telefonico. Basterà inviare un sms o digitare un tasto sul telefono, al momento della donazione.

Lo ha chiarito il Garante per la protezione dei dati personali in risposta ad alcuni Enti del terzo Settore (Airc, Telethon, Fai, Medici senza frontiere Italia, Associazione italiana sclerosi multipla, Comitato italiano per l’Unicef e Save the Children Italia) che avevano richiesto il parere del Garante sulla possibilità di conoscere i nominativi e i numeri di telefono dei donatori aderenti alle raccolte dopo le recenti modifiche apportate dall’Agcom al Piano di numerazione nazionale [doc. web n. 9058954].

Gli operatori telefonici potranno dunque comunicare agli enti no-profit i dati di quanti hanno donato fondi attraverso sms o telefonate da rete fissa, verso la numerazione con codice “455”, per permettere agli enti di rendicontare ai donatori i risultati delle iniziative cui hanno aderito. Gli enti potranno ricontattare i donatori per promuovere nuove campagne di fundraising solo nel caso in cui questi ultimi abbiano espresso il loro consenso.

Il Garante – all’esito di alcuni incontri avuti con gli enti e con gli operatori telefonici, anche mediante la partecipazione dell’associazione di categoria Asstel – ha ritenuto che le attività di trattamento prese in esame (raccolta fondi per gli enti, addebito del servizio attraverso il credito telefonico e/o in fattura per l’operatore telefonico), pur potendo apparire a prima vista distinte e autonome, devono invece essere considerate un insieme di operazioni che perseguono una finalità comune e si avvalgono di strumenti stabiliti congiuntamente. Enti e operatori telefonici devono essere dunque considerati contitolari del trattamento e, tramite un accordo interno, sono tenuti a stabilire le rispettive responsabilità in merito agli obblighi derivanti dal Regolamento europeo in materia di protezione dei dati personali.

Il Garante ha chiarito, inoltre, che nell’informativa dei gestori telefonici e degli enti no-profit dovranno essere specificati, già in forma sintetica al momento della donazione (con rinvio ad un’informativa più estesa reperibile sui relativi siti di riferimento), il ruolo di contitolarità dei diversi attori e le differenti finalità di trattamento. Società telefoniche ed enti no-profit dovranno infine mettere a punto un sistema che agevoli l’esercizio dei diritti del donatore: in particolare, quello di revoca del consenso, che, come prevede il Regolamento Ue, deve poter essere esercitato “con la stessa facilità con cui è stato accordato”.

Bonus cultura per i 18enni: via libera del Garante

Via libera del Garante per la protezione dei dati personali al decreto della Presidenza del Consiglio dei Ministri che estende il cosiddetto “bonus cultura” ai ragazzi che compiono 18 anni nel 2018, ma permangono le osservazioni espresse dall’Autorità in precedenti pareri [doc. web n. 9058972].

I giovani potranno ricevere la carta elettronica, che consentirà loro di spendere fino a 500 euro in acquisti culturali (mostre, libri, musei, spettacoli, ecc.), purché in possesso dei requisiti già previsti per i beneficiari: essere residenti nel territorio nazionale e, ove previsto, in possesso di permesso di soggiorno in corso di validità.

Il Garante non ha rilevato profili di criticità sulle modifiche al decreto che estende l’attribuzione e l’uso della carta elettronica al 2018, tuttavia ha richiamato l’attenzione su alcuni aspetti ancora irrisolti.

Nonostante quanto già osservato nei precedenti pareri rilasciati dall’Autorità per i bonus degli anni 2016 e 2017, le indicazioni sulle modalità di gestione e conservazione dei dati personali trattati, infatti, non risultano ancora disciplinate nel dettaglio.

Il Garante pertanto ribadisce che le integrazioni prospettate risultano necessarie anche al fine di rendere il decreto pienamente conforme all’art. 6 , comma 3 del Regolamento UE 2016/679. Ai sensi di tale articolo la base giuridica del trattamento dovrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del Regolamento, con particolare riferimento ai periodi di conservazione dei dati, alle operazioni e procedure di trattamento e alla realizzazione e gestione della “piattaforma informatica dedicata”.

Gdpr, valutazione di impatto per i trattamenti transfrontalieri
Individuate le tipologie di operazioni che possono presentare rischi elevati per i diritti e le libertà

D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere. [doc. web n. 9058979]

La valutazione di impatto è obbligatoria quando il trattamento dei dati – per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità – può presentare un rischio elevato per i diritti e le libertà delle persone. Nell’elenco il Garante ha indicato, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea.

Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.