NEWS

Telefonate per scopi caritatevoli e di proselitismo religioso effettuate per un legittimo interesse, ma si deve rispettare il Gdpr

Il trattamento di nomi e recapiti, finalizzato al primo contatto delle persone per scopi caritatevoli e di proselitismo religioso, trova base giuridica nell’interesse legittimo dell’associazione di tendenza, la quale, tuttavia, a tutti gli effetti, è un titolare del trattamento. Con tutto quel che ne consegue, quanto agli adempimenti previsti dal Gdpr. Aiutare i bisognosi, soprattutto in un periodo di emergenza, è un legittimo interesse, ma non uno stratagemma per affievolire il rispetto della disciplina sulla protezione dei dati. Inoltre, il proselitismo abusivo o improprio non trova certo una sponda nel Gdpr.

 
Questa è la cornice in cui si inseriscono gran parte delle risposte ai quesiti relativi alla disciplina “privacy” per le associazioni di matrice religiosa; risposte che devono essere considerate quali parti di un sistema complessivo e che non può tollerare lassismi o semplicistiche soluzioni. A questo proposito bisogna partire da concetti base.

Le associazioni religiose sono titolari del trattamento e non possono fruire della cosiddetta esimente domestica: non si tratta di trattamenti di dati effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. In quanto titolare del trattamento, ciascuna associazione è sottoposta ai principi e agli adempimenti previsti dal Gdpr.

L’associazione è, pertanto, tenuta al rispetto dell’articolo 5 Gdpr, è tenuta alla stesura del registri del trattamento, a nominare i responsabili esterni del trattamento, ad effettuare la valutazione dei rischi (art. 32), deve nominare, istruire e formare i propri autorizzati, deve effettuare la valutazione di impatto privacy (art. 35), è soggetta alla normativa sul data breach, deve nominare il Responsabile della Protezione dei Dati (nei casi dell’art. 37), deve dare l’informativa agli interessati, deve osservare le disposizioni in materia di privacy elettronica con riguardo ai siti internet e alle comunicazioni elettroniche.

Dalla panoramica, velocemente riportata, si è lasciato indietro il tema della condizione di liceità del trattamento, poiché, senza dimenticare il sistema complessivo, si possono individuare alcuni trattati specifici.

Si pongano, ad esempio, alcune finalità, che possono essere perseguite dall’associazione religiosa, come l’assistenza a persone bisognose e come la predicazione del proprio credo religioso.Ora si ponga mente al fatto che l’associazione si proponga di contattare terzi soggetti che non fanno parte dell’associazione stessa, e ciò a mezzo dell’uso del telefono oppure mediante tentativo di contatto diretto porta a porta.

E si ipotizzi altresì che i tipi di dati trattati, ai fini del primo contatto, siano i dati anagrafici e di recapito telefonico tratti da elenchi pubblici o di indirizzo dell’abitazione.

In relazione alla finalità di sostegno sociale a persone bisognose, ed esclusivamente con riferimento ai dati anagrafi e ai recapiti, si ritiene fattibile che la base giuridica sia rappresentata dal legittimo interesse (articolo 6, par. 1, lett. f ).

Si consideri, in proposito, quanto esposto dal Parere del WP29 n. 6/2014 sul concetto di legittimo interesse.

In detto parere si riferisce che, ai fini del legittimo interesse, si devono considerare una serie di parametri, tra i quali “la natura e l’origine dell’interesse legittimo, tra cui: - l’eventualità che il trattamento dei dati sia necessario per l’esercizio di un diritto fondamentale, o - altrimenti necessario per l’esecuzione di un compito di interesse pubblico o sia riconosciuto a livello sociale, culturale o giuridico/normativo dalla comunità interessata;” e si esemplifica tale circostanza riferendo che “un ente di beneficenza o un’associazione senza scopo di lucro potrebbero trattare dati personali rispettivamente a fini di ricerca medica e di sensibilizzazione sulla corruzione governativa”.

Si noti che questo orientamento mette in fila:

a) la rilevanza e il riconoscimento sociale dell’attività caritatevole;
b) l’assenza o la minima entità del pregiudizio subito dall’interessato;
c) il possibile vantaggio per l’interessato che riceve aiuto e solidarietà.

Si ritiene, pertanto, che rientra nel legittimo interesse il trattamento effettuato da un ente di beneficenza o un’associazione senza scopo di lucro nel primo contatto a fini di sostegno e solidarietà sociale, a maggior ragione nell’ambito di una emergenza sanitaria.

Occorre, però, evidenziare che mettere a base di un trattamento il legittimo interesse del titolare significa avere effettuale la valutazione del legittimo interesse (detto anche LIA o legitimate interests assessment) e il bilanciamento tra le diverse esigenze. Del legittimo interesse bisogna dare conto nelle informative e nel registro del trattamento.

In sostanza assegnarsi la possibilità di trattare dati sulla base del legittimo interesse non è certo un alleggerimento degli adempimenti imposti dal Gdpr.

A ciò si aggiunga che in ogni caso l’associazione deve assicurare il diritto di opposizione ai sensi dell’articolo 21 Gdpr.

(Nella foto: l'Avvocato Ciccia Messina, esperto di privacy autore per Italia Oggi)

Va sottolineato, inoltre, se necessario, che evidentemente la finalità caritatevole non può essere usata come un facile passpartout per veicolare altre e diverse finalità, le quali sono illecite se non supportate da una propria idonea base giuridica.

Si deve considerare, infine, che se i trattamenti finalizzati all’aiuto sociale sono espressamente inseriti in un ambito specifico, ad esempio nell’ambito di una situazione di calamità sociale o di una specifica emergenza, i trattamenti devono avere durata pari alla durata della situazione contingente.

In relazione alla finalità del proselitismo, che è una manifestazione dell’esercizio della inviolabile libertà religiosa, ed esclusivamente con riferimento ai dati anagrafi e ai recapito di contatto, si ritiene che, in relazione al primo contatto, con soggetto estraneo alla compagine religiosa, la base giuridica sia rappresentata dal legittimo interesse (articolo 6, par. 1, lett. f ).

Al fine di dare conto di questa ricostruzione, si possono considerare una serie di elementi normativi ed interpretativi.

L’articolo 19 della Costituzione italiana prevede che “Tutti hanno diritto di professare liberamente la propria fede religiosa in qualsiasi forma, individuale o associata, di farne propaganda e di esercitarne in privato o in pubblico il culto, purché non si tratti di riti contrari al buon costume”.

Vanno nella direzione della valorizzazione della finalità, ai fini del rinvenimento della base giuridica, le conclusioni dell’avvocato generale Paolo Mengozzi, presentate il 1° febbraio 2018, nella causa di competenza della Corte di Giustizia dell’Unione Europea n. C 25/17: in tali conclusioni si legge:

“...non può esistere un aspetto negativo della libertà di predicazione, dato che quest’ultima implica necessariamente il tentativo di convincere coloro che non condividono la propria fede o non ne hanno alcuna ... la libertà di predicazione comporta necessariamente l’esistenza di un pubblico «destinatario» al quale non si può riconoscere il diritto negativo di non ricevere prediche religiose e di non essere oggetto di tentativi di proselitismo, salvo svuotare della loro sostanza la libertà in questione e la sua potenziale conseguenza, parimenti tutelata sia dall’articolo 9 della CEDU sia dall’articolo 10, paragrafo 1, della Carta, ossia la libertà di cambiare religione”.

Sulla base di queste riflessioni si può riferire che esulano dal concetto di liceità della libertà religiosa e dei connessi trattamenti di dati il proselitismo abusivo e il proselitismo improprio.

Sotto questo profilo, la Cedu, Corte Europea dei diritti dell’uomo, sentenza 24 febbraio 1998, ha sottolineato che «..... se pure la libertà religiosa fa parte anzitutto del foro interiore, essa implica altresì, soprattutto, quella di “manifestare la propria religione”, ivi compreso il diritto di tentare di convincere il prossimo, ad esempio mediante un “insegnamento” (…). Tuttavia, l’articolo 9 non protegge qualsiasi atto motivato o ispirato da una religione o da un credo. Così, esso non protegge il proselitismo improprio, quale un’attività che offra vantaggi materiali o sociali o l’esercizio di pressioni abusive al fine di ottenere adesioni a una Chiesa».

Tali orientamenti portano a valutare che il primo contatto, facendo uso esclusivamente di dati anagrafici e dei dati di contatto, potrà trovare nel legittimo interesse la base giuridica del trattamento.

Si noti bene, però, che, dopo il primo contatto, per il quale si utilizzano dati anagrafici e recapiti, si passa necessariamente al trattamento di dati particolari a riguardo delle convinzioni religiose, sia che le persone contattate abbiamo mostrato interesse sia che abbiano mostrato disinteresse.

A quel punto, può capitare che con un soggetto si addivenga a intrattenere contatti regolari e, allora, si applica l’articolo 9, parag., 2, lettera d).

Se i contatti sono, invece, episodici e fino a quando rimangono tali, i trattamenti dei dati (compresa la registrazione del nome) del soggetto visitato dai componenti dell’associazione religiosa potranno essere giustificati solo con il consenso espresso dell’interessato (siamo di fronte ai dati particolari di un soggetto che non ha contatti “regolari”), ripetuto eventualmente ad ogni contatto, in vista del successivo. Con la conseguenza che la mancanza di consenso rende illecita la conservazione del dato.

In caso di disinteresse, invece, l’unica base giuridica applicabile è il consenso esplicito (articolo 9, parag., 2, lettera a): con la conseguenza che, in assenza di consenso, non è in alcun modo lecita la registrazione di dati personali, anche al solo fine di conservare nota dell’espresso disinteresse.

La finalità del proselitismo deve, comunque, inserirsi in un flusso di trattamenti, per i quali, come sopra riferito, devono essere osservati tutti gli adempimenti GDPR (informativa, misure di sicurezza, nomina, istruzione e formazione degli autorizzati, registri trattamento, ecc.).

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Attenzione al malware dell'acqua santa che carpisce i dati personali degli utenti di siti web religiosi
Next Sito dell'Inps in tilt, improbabile l'attacco hacker. L'istituto notifica il data breach, ma non aveva il Dpo.Istruttoria del Garante Privacy

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy