Provvedimento - 19/11/2021 - n. 9728518 Articolo unico1. Premessa. Codeste associazioni hanno manifestato al Garante l'interesse a conoscere i dati identificativi dei contribuenti che hanno versato loro il cinque per mille dell'imposta sul reddito delle persone fisiche (di seguito “5x1000”) per finalità di invio di “una rendicontazione dettagliata delle modalità di utilizzo delle risorse loro destinate”. Secondo quanto prospettato, l'assenza, allo stato, di forme di comunicazione individualizzata circa le modalità d'impiego delle risorse assegnate annualmente dai cittadini in sede di destinazione del 5x1000 potrebbe “minare il rapporto fiduciario tra l'organizzazione beneficiaria […] ed il contribuente nonché la credibilità dello strumento stesso”, impedendo ai sovventori gli opportuni controlli in merito e la possibilità stessa di una “più approfondita valutazione della serietà e dell'efficienza dell'organizzazione prescelta”. Codeste organizzazioni propongono quindi di inserire “un apposito consenso informato sul modulo di destinazione del 5x1000, affinché il contribuente possa scegliere di comunicare i dati necessari a ricevere da parte dell'organizzazione beneficiaria una rendicontazione dei progetti finanziati tramite tale misura”. L'Agenzia delle Entrate, in fase di registrazione dei dati, provvederebbe a predisporre le liste dei “donatori” per ciascuna organizzazione sulla base dei consensi espressi dai singoli contribuenti in sede di destinazione del 5x1000, escludendo per economie di gestione “gli enti percettori di somme inferiori a cinquecento mila euro o che ricevono un numero di scelte inferiore a diecimila”. In tal modo, le organizzazioni no-profit, in possesso dei previsti requisiti, potrebbero, da un lato, “avviare un dialogo con il proprio donatore” utile a verificare l'affidabilità e la responsabilità dell'ente prescelto e, dall'altro, “sviluppare quel capitale di relazione, visibilità e radicamento nel tessuto sociale, imprescindibile per il loro sviluppo”. Al fine di perseguire tale obiettivo, codeste organizzazioni propongono un intervento normativo (sottoforma di “emendamento”) che preveda: 1) l'obbligo per gli enti percettori in possesso dei requisiti richiesti di fornire ai contribuenti consenzienti un rendiconto sull'utilizzo delle somme percepite, unitamente ad altre informazioni ritenute utili a far conoscere le attività e i progetti dell'organizzazione prescelta; 2) la possibilità per il contribuente di autorizzare la trasmissione dei propri dati anagrafici all'ente percipiente direttamente attraverso il modulo di destinazione del 5x1000; 3) l'obbligo in capo alle organizzazioni beneficiarie di conservare per un periodo di 5 anni la comunicazione inviata e l'elenco dei destinatari. 2. Il contesto normativo di riferimento. La disciplina relativa alla possibilità di devolvere il 5x1000 dell'imposta sul reddito delle persone fisiche in favore di soggetti accreditati operanti nel terzo settore è contenuta, principalmente, nel d.lgs. 3 luglio 2017, n. 11, che, in attuazione dell'articolo 9, comma 1, lettere c) e d), della l. 6 giugno 2016, n. 106 (“Delega al Governo per la riforma del terzo settore, dell'impresa sociale e per la disciplina del servizio civile universale”), ha provveduto − da un lato − al completamento della riforma strutturale dell'istituto in base alle scelte espresse dai contribuenti in favore degli enti individuati, alla razionalizzazione e revisione dei criteri per l'accreditamento dei soggetti beneficiari e dei requisiti per l'accesso al beneficio, nonché alla semplificazione e all'accelerazione delle procedure per il calcolo e l'erogazione dei contributi spettanti ai singoli enti e − dall'altro – all'individuazione di un sistema improntato alla massima trasparenza, rafforzando gli obblighi di pubblicità in capo agli enti beneficiari e prevedendo sanzioni in caso di eventuale inottemperanza. Più in dettaglio, il decreto individua, tra l'altro: le finalità cui è destinata la quota del 5x1000 (art. 3); le modalità di accreditamento e i termini per l'accesso al riparto delle risorse (art. 4); i criteri di riparto e di erogazione dei contributi (art. 5); gli obblighi di trasparenza relativi alla destinazione delle risorse (art. 7). In particolare, per quanto riguarda quest'ultimo aspetto, il decreto prevede che, al fine di assicurare trasparenza ed efficacia nell'utilizzazione della quota del 5x1000 dell'imposta sul reddito delle persone fisiche, i relativi beneficiari debbano presentare, alle rispettive amministrazioni erogatrici, un apposito rendiconto, accompagnato da una relazione illustrativa, dal quale risultino in modo chiaro, trasparente e dettagliato la destinazione e l'utilizzo delle somme ricevute, con obbligo di pubblicazione del medesimo rendiconto e degli importi percepiti sui propri siti web. Con D.P.C.M. del 23 luglio 2020 sono state poi disciplinate, nel dettaglio, le modalità e i termini per l'accesso al riparto dei contributi, unitamente alle modalità e ai termini per la formazione, l'aggiornamento e la pubblicazione dell'elenco permanente degli enti iscritti e degli elenchi annuali di quelli ammessi. Più precisamente, sono state concretamente individuati/e: i soggetti e le finalità di destinazione della quota del 5x1000 (art. 1); le modalità e i termini per l'accreditamento (artt. 2-7); le modalità per la scelta della destinazione dell'imposta e per il riparto delle somme (artt. 10-11); le modalità di erogazione e di pagamento dei contributi (artt. 13 e 14); gli obblighi gravanti sui beneficiari (art. 16), con particolare riferimento al rendiconto annuale da trasmettere all'amministrazione erogatrice, agli elementi che lo stesso deve contenere, nonché alla pubblicazione di quest'ultimo e degli importi percepiti sui rispettivi siti web. La normativa sopra richiamata, per contro, non prevede modalità di rendicontazione personalizzata o forme di conoscibilità dei contribuenti da parte delle organizzazioni beneficiarie del 5x1000, né è possibile rinvenire specifici indici in tal senso nell'ambito della peculiare disciplina di settore − v., in particolare, i d.lgs. 3 luglio 2017, nn. 112 (“Disciplina dell'impresa sociale”) e 117 (c.d. “Codice del terzo settore”); unica eccezione – relativa, però, al più ampio e diverso contesto di riferimento – è rappresentata dai partiti politici, per cui la legge prevede forme di conoscibilità dei dati concernenti i sovventori (d.l. 28 dicembre 2013, n. 149). 3. I precedenti del Garante. Come noto, il tema della conoscibilità, a vario titolo, dei dati identificativi di donatori e sovventori ha già formato oggetto di disamina, da parte del Garante, nell'ambito di alcuni riscontri resi pubblici sul sito www.gpdp.it. In particolare, con riferimento alla questione, sollevata da alcune delle odierne istanti, relativa alla “Conoscibilità dei donatori nell'ambito delle campagne di raccolta fondi per finalità benefiche tramite sms "solidali" o chiamate in fonia da rete fissa”, questa Autorità ha avuto modo di evidenziare – per quanto qui di interesse − la necessità di ricorrere a presupposti distinti a seconda della finalità perseguite dall'ente (nota del 24 ottobre 2018, [doc. web n. 9058954]). Posto, infatti, che l'esigenza di “ricontatto” del donatore da parte delle organizzazioni no-profit si traduce in una finalità di “rendicontazione” – intesa quale informativa individualizzata circa gli esiti della campagna di raccolta fondi cui il donatore abbia contribuito – e in una finalità di “fidelizzazione” – intesa quale possibilità di instaurare un rapporto duraturo e fiduciario con l'utente al fine, anzitutto, di reperire e assicurarsi nuove risorse per il futuro – l'Autorità ha ritenuto che, nel primo caso, sia possibile individuare, alla luce di specifici indici rinvenibili nell'ordinamento, un legittimo interesse degli enti medesimi (art. 6, par. 1, lett. f) del Regolamento (UE) 2016/679, di seguito “RGPD”) al trattamento dei dati identificativi degli interessati, risultando viceversa necessario, nel secondo caso, il consenso dei donatori, trattandosi di attività affatto peculiare. Per quanto attiene, invece, al finanziamento dei partiti politici per via telefonica, il Garante ha chiarito che i dati trattati nel contesto in esame non possono che essere considerati di natura “sensibile” (oggi “particolare”: artt. 9 del RGPD e 22, comma 2, del d.lgs. n. 101/2018), con la conseguenza che la loro eventuale conoscenza e pubblicazione su siti web da parte di questi ultimi – seppur prevista, per finalità di trasparenza, dalla stessa legge − non potrebbe che richiedere, in base alla normativa di protezione dei dati personali allora vigente (art. 23, comma 4, del Codice), il consenso degli interessati (v. riscontro del 10 marzo 2016 [doc. web n. 4788463]). 4. Valutazioni preliminari. Sulla base del quadro sopra riportato, si ritiene che la conoscibilità dei dati dei donatori del 5x1000 da parte delle organizzazioni no-profit, alla luce delle finalità che si intenderebbero perseguire con l'iniziativa proposta, non possa prescindere, oltreché dalla volontà degli interessati, da un intervento normativo che, incidendo sulla stessa disciplina di riferimento, consideri – calibrandone la portata in rapporto ai diritti e alle libertà fondamentali degli interessati – presupposti, modalità e limiti dell'operazione. Ciò tenuto peraltro conto che tutta l'attività connessa alla raccolta dei dati da parte dell'Agenzia delle entrate nell'ambito delle dichiarazioni dei redditi è dettagliatamente regolamentata a livello primario e secondario e assistita, per gli aspetti di competenza, dai pareri dell'Autorità (cfr. sullo specifico punto il parere sullo schema di DPCM recante le “Modalità attuative per la destinazione del 5X1000 dell'imposta sul reddito” del 18 gennaio 2006). La modifica normativa proposta da codeste organizzazioni determina infatti un flusso di dati personali dall'Agenzia delle Entrate alle organizzazioni beneficiarie che andrebbe a incidere, nei fatti, sugli stessi compiti già assegnati – per legge – alla medesima Agenzia, comportando l'esecuzione di un'attività (aggiuntiva) allo stato non prevista e che comporta, inevitabilmente, anche dei costi. Considerata inoltre la natura potenzialmente particolare dei dati in esame (si vedano, in tal senso, i numerosi provvedimenti del Garante in materia di erogazioni liberali, da ultimo provv. 11 febbraio 2021, n. 42), risulta a fortiori necessaria una disposizione di legge che, nel modificare la modulistica relativa alla dichiarazione dei redditi (anch'essa disciplinata per via legislativa), riconosca formalmente la fattibilità dell'operazione, secondo valutazioni anzitutto di opportunità che sono – e restano proprie – del legislatore. Milita in questa direzione, del resto, lo stesso “precedente” normativo sinora registrato sul tema della conoscibilità dei sovventori (v. d.l. 149/2013, cit.), come pure, più in generale, l'esigenza stessa di conferire legittimazione a un'operazione destinata a ripercuotersi, inevitabilmente, su milioni di contribuenti. In tale quadro, si ritiene dunque che la strada dell'intervento normativo individuata da codeste organizzazioni sia, formalmente e sostanzialmente, corretta. Quanto al testo dell'emendamento proposto, si ritiene di dover richiamare l'attenzione su alcuni aspetti meritevoli di riflessione, in considerazione del fatto che quest'ultimo: si limita a prevedere obblighi di rendicontazione in capo agli enti no-profit, senza apportare modifiche ai compiti dell'Agenzia delle Entrate sul fronte della comunicazione dei dati e al medesimo D.P.C.M. sopra indicato; lascia indeterminate le modalità con le quali i contribuenti potrebbero poi essere contattati dalle associazioni; non specifica le finalità di trattamento connesse alle attività di “fidelizzazione” degli utenti e di reperimento delle risorse; individua “soglie” (500.000 euro o 10.000 scelte), ai fini della comunicazione dei dati, che possono risultare discriminatorie nei confronti delle organizzazioni c.d. “minori”, di fatto (immotivatamente) escluse dai benefici derivanti da un eventuale contatto con gli interessati; individua tempi di conservazione dei dati (5 anni) che – in assenza di più chiare motivazioni (allo stato non inferibili) – non appaiono congrui; non specifica che il consenso degli interessati all'operazione è comunque revocabile in ogni tempo (art. 7, par. 3, del RGPD). In tale cornice, un eventuale intervento legislativo potrebbe quindi essere considerato sostanzialmente conforme alla disciplina di protezione dati, fermo restando la necessità che l'Autorità sia formalmente consultata in sede legislativa con l'interpello formale, previsto ai sensi degli artt. 36, par. 4, 57, par. 1, lett. c), e 58, par. 3, lett. b), del RGPD, sulla base di un testo normativo compiutamente definito. In considerazione della rilevanza del tema sottoposto all'attenzione del Dipartimento e dei riflessi che la modifica normativa potrebbe determinare, la presente è inviata, per conoscenza, anche all'Agenzia delle Entrate. Si resta a disposizione per eventuali chiarimenti. InquadramentoIl provvedimento in esame costituisce la replica del Garante a un gruppo di note associazioni del terzo settore. In data 5 maggio 2021 le associazioni avevano posto un quesito all'autorità, ove manifestavano l'interesse a conoscere i dati identificativi dei contribuenti (altrimenti anonimi per gli enti) che hanno versato loro il cinque per mille dell'imposta sul reddito delle persone fisiche, per finalità principali di invio di “una rendicontazione dettagliata delle modalità di utilizzo delle risorse loro destinate”, oltre ad altre che si vedranno di seguito. Nella sua risposta il Garante fornisce una compiuta disamina del quadro normativo applicabile al contesto fiscale dei contributi (in dichiarazione dei redditi) a favore del c.d. no profit, arrivando a commentare una proposta normativa delle associazioni stesse, per concludere con la sua ammissibilità (pur con svariati caveat) e un appello al legislatore per una riforma. Riforma che, per inciso, alla data in cui si scrive non è comunque ancora avvenuta né pare oggetto di specifica proposta né discussione nelle sedi parlamentari o governative. La proposta normativa degli enti no profitIl motivo per cui le associazioni ritengono necessario conoscere i dati personali dei propri contribuenti del 5x1000, allo stato non resi noti ai beneficiari, è il seguente: in loro mancanza si potrebbe “minare il rapporto fiduciario tra l'organizzazione beneficiaria [...] ed il contribuente nonché la credibilità dello strumento stesso”, impedendo ai sovventori gli opportuni controlli in merito e la possibilità stessa di una più approfondita valutazione della serietà e dell'efficienza dell'organizzazione prescelta. Ciò permetterebbe di avviare un dialogo con i propri donatori, sì da poter verificare l'affidabilità e la responsabilità dell'ente prescelto e, dall'altra, sviluppare “quel capitale di relazione, visibilità e radicamento nel tessuto sociale, imprescindibile per il loro sviluppo”. Da qui la proposta delle associazioni di emendare la modulistica fiscale: aggiungere un consenso “informato” da parte del contribuente, che potrà così decidere di comunicare i propri dati all'ente beneficiario e ricevere, così, compiuta trasparenza tramite la rendicontazione diretta sui progetti finanziati dal contributo. L'Agenzia delle Entrate si occuperebbe di fare da tramite, gestendo le liste di donatori per ogni ente beneficiario. Con l'esclusione (per economie di gestione) di alcuni enti, quelli percettori di somme inferiori a 500.000 euro o che ricevono un numero di scelte inferiore a 10.000. Per aggiornare in tal senso il processo di dichiarazione dei redditi è naturalmente necessario un intervento normativo (detto “emendamento”), perorato dagli enti interpellanti, così costruito: 1) l'obbligo per gli enti percettori – in possesso dei requisiti richiesti – di fornire ai contribuenti consenzienti un rendiconto sull'utilizzo delle somme percepite (oltrea non ben precisate ulteriori informazioni, ritenute utili a far conoscere le attività e i progetti dell'ente, senza ulteriori chiarimenti); 2) la possibilità per il contribuente di autorizzare la trasmissione dei propri dati anagrafici direttamente all'ente beneficiario, tramite il predetto consenso specifico nel modulo della dichiarazione di destinazione del 5x1000; 3) l'obbligo in capo alle organizzazioni beneficiarie di conservare per un periodo di 5 anni i dati inerenti, ovvero la comunicazione inviata e l'elenco dei destinatari. La normativa di riferimentoA quale normativa le associazioni proponenti si riferiscano per l'emendamento, è presto detto: trattasi anzitutto del c.d. Codice del Terzo Settore, ovvero il d.lgs. 117/2017, in attuazione della l. 6 giugno 2016, n. 106 (“Delega al Governo per la riforma del terzo settore, dell'impresa sociale e per la disciplina del servizio civile universale”). Tale decreto si è occupato della impegnativa riforma strutturale dell'intero comparto del settore no profit. Tra l'altro, il decreto si è occupato delle finalità di destinazione del 5x1000, delle modalità di accreditamento e dei termini per l'accesso al riparto, i criteri stessi di riparto e di erogazione dei contributi, gli obblighi di trasparenza relativi alla destinazione delle risorse. Rammentiamo che secondo tale normativa ricadono nel concetto di “enti del terzo settore” (art. 4) quelli iscritti al c.d. registro unico nazionale del terzo settore, incasellati in categorie predefinite: le organizzazioni di volontariato (ODV), le associazioni di promozione sociale (APS), gli enti filantropici, le imprese sociali incluse le cooperative sociali, le reti associative, le società di mutuo soccorso (SOMS), le associazioni riconosciute o non riconosciute, le fondazioni e gli altri enti di carattere privato diversi dalle società, se sono costituiti – in via esclusiva o principale – per il perseguimento, senza scopo di lucro, di finalità civiche, solidaristiche e di utilità sociale mediante lo svolgimento, in via esclusiva o principale, di una o più attività di interesse generale, in forma di azione volontaria o di erogazione gratuita di denaro, beni o servizi, o di mutualità o di produzione o scambio di beni o servizi. Sono espressamente escluse alcune tipologie, come gli enti religiosi civilmente riconosciuti (per attività non di interesse generale, di cui all'art. 5 del Codice di settore), le formazioni e associazioni politiche (come i tradizionali partiti politici), i sindacati, ecc. Proprio per la mancanza di uno dei requisiti impliciti del terzo settore – ovvero l'essere enti istituzionali, ragion per cui saranno soggetti a diverse discipline. Parallelamente si rammenta che è stato emanato d.lgs. 112/2017, riguardante alcuni aspetti particolari di disciplina dell'impresa sociale, fattispecie che rientra in ogni caso nell'ambito del Terzo Settore. Secondo il Codice del Terzo Settore (art. 14), gli enti beneficiari sono tenuti a presentare - alle rispettive amministrazioni erogatrici – un apposito rendiconto, accompagnato da una relazione illustrativa, dal quale risultino in modo chiaro, trasparente e dettagliato la destinazione e l'utilizzo delle somme ricevute, con obbligo di pubblicazione del medesimo rendiconto e degli importi percepiti sui propri siti web, come sottolineato dal Garante. A integrazione della normativa generale troviamo il d.P.C.M. del 23 luglio 2020 sulla “Disciplina delle modalità e dei termini per l'accesso al riparto del cinque per mille dell'imposta sul reddito delle persone fisiche degli enti destinatari del contributo, nonché delle modalità e dei termini per la formazione, l'aggiornamento e la pubblicazione dell'elenco permanente degli enti iscritti e per la pubblicazione degli elenchi annuali degli enti ammessi”. Vi si trovano, in particolare, precisazioni sul rendiconto annuale da trasmettere all'amministrazione erogatrice, agli elementi che lo stesso deve contenere, nonché alla pubblicazione di quest'ultimo e degli importi percepiti sui rispettivi siti web. Disciplina parzialmente difforme, per il nostro focus, è quella dettata per i partiti politici (come visto sopra, esclusi dal novero degli enti del Terzo Settore) dal d.l. 149/2013 (di abolizione del finanziamento pubblico diretto ai partiti e che disciplina la contribuzione volontaria e indiretta in loro favore), completata dal d.P.C.M. attuativo del 28 maggio 2014. Sui partiti politici, percettori del c.d. 2x1000 a loro riservato, in base al d.l. 149/2013 gravano alcune forme di conoscibilità dei dati concernenti i propri contribuenti (arrivando alla loro pubblicazione online, per trasparenza dei finanziamenti ai partiti). Non scordiamo che è vigente l'autorizzazione generale GPDP n. 3/2016 (riconosciuta compatibile con la normativa attuale tramite provv. GPDP del 13 dicembre 2018 [doc. web n. 9068972]), sul trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose. Oltre a coprire gli enti e organi facenti parte del Terzo Settore, nonché i partiti politici, riguarda interessati come i sostenitori (anche tramite il 5x1000) e le finalità di trattamento dei dati particolari devono essere determinate e legittime, individuate dalla legge, dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, oppure per altre finalità (per es. la tutela di un diritto in giudizio) che non comprendono comunque gli scopi della proposta in parola. Si rimanda al relativo commento del provvedimento nel presente volume. Se il mezzo di contatto a fini promozionali da parte dell'ETS fosse quello telefonico o postale, nulla muterà circa il rispetto della dovuta consultazione del Registro Pubblico delle Opposizioni (Patti in Acciai, 93) - al cui commento si rimanda. Come rammentato dalla stessa autrice, dopo l'abrogazione nel 2018 dell'art. 24 lett. h) del Codice privacy con la sua eccezione al consenso per fini statutari, ora gli ETS debbono necessariamente discernere una base giuridica tra il legittimo interesse e il consenso, a seconda della finalità. La conoscibilità dei sovventori nei precedenti del GaranteCome anticipato, nessuna delle normative suddette e vigenti contempla la possibilità o l'obbligo di comunicazione dei dati dei sovventori verso gli enti beneficiari, salvo l'eccezione dei partiti politici. Il Garante stesso si era già pronunciato sul punto, con un provvedimento di replica a un quesito: “Conoscibilità dei donatori nell'ambito delle campagne di raccolta fondi per finalità benefiche tramite SMS “solidali” o chiamate in fonia da rete fissa” del 24 ottobre 2018 [doc. web n. 9058954]. Già allora l'autorità aveva puntualizzato il discrimine delle finalità e relative basi giuridiche. Anzitutto distinguendo gli scopi attuabili dagli enti nell'apprendere i nominativi dei beneficiari e ricontattarli: (i) di rendicontazione, per informare sugli esiti del finanziamento ricevuto – in tale frangente si ammetteva la base del legittimo interesse; (ii) di fidelizzazione, per “instaurare un rapporto duraturo e fiduciario con l'utente al fine, anzitutto, di reperire e assicurarsi nuove risorse per il futuro”, dunque anche per il ricontatto nel caso di nuove campagne – basato necessariamente sul consenso, reso tramite il gestore telefonico: (iii) di trasparenza per obbligo normativo, come accade ai partiti politici con i dati dei propri sovventori da pubblicare sul proprio sito web – da fondarsi parimenti sul consenso. La necessità di intervento normativo: assenso alla proposta delle associazioniAlla luce della interrogazione delle associazioni proponenti, il Garante conferma come il risultato voluto necessiti sia della base giuridica consensuale proposta che, ancor prima, di una modifica normativa. Una modifica che calibri la sua portata in rapporto ai diritti e alle libertà fondamentali degli interessati, ovvero presupposti, modalità e limiti dell'operazione. Più precisamente, l'autorità sottolinea altresì che assegnare all'Agenzia delle Entrate nuovi compiti come questo avrebbe inevitabili ricadute di costo sul bilancio statale. Il Garante procede a una disamina della proposta normativa delle associazioni, considerata sostanzialmente conforme alla disciplina di protezione dei dati pur nella sua genericità. Puntualizza però alcuni nei dell'emendamento: a) si limita a prevedere obblighi di rendicontazione in capo agli enti no profit, senza apportare modifiche ai compiti dell'Agenzia delle Entrate (impegnata sul fronte della comunicazione dei dati) e al D.P.C.M. inerente – come si è rilevato, il coinvolgimento dell'Agenzia secondo il Garante sarebbe inevitabile e con un certo impatto amministrativo; l'autorità non vi accenna ma, inevitabilmente, avrebbe rilevanza altresì la sicurezza informatica di comunicazione dei dati (potenzialmente particolari ex art. 9 GDPR) tra Agenzia ed enti, con misure idonee prefissabili ex ante a garanzia di una sufficiente copertura dei rischi (la norma potrebbe già presentare una valutazione di impatto privacy svolta dal legislatore a giustificare determinate misure); b) non determina le modalità di contatto dei contribuenti da parte degli enti loro beneficiari; si può pensare che possa essere un canale che non fomenti il sempre dilagante fenomeno dei contatti promozionali più o meno eccessivi e sgraditi – quindi sarebbe preferibile evitare il mezzo telefonico e l'SMS; gioverebbe meglio specificare se e come le comunicazioni possano contenere inviti a ulteriore supporto e finanziamento all'ente, oltre al dovuto rispetto della disciplina (per telefonate e posta cartacea) del Registro Pubblico delle Opposizioni; c) non specifica le finalità di trattamento connesse alle attività di “fidelizzazione” degli utenti e di reperimento delle risorse; si tratta di un punto nodale perché se troppo vago potrebbe legittimare comunicazioni che – al pari di quelle di marketing diretto – si rivelino ben presto indesiderate; andrebbero supportate perlomeno da un consenso specifico a sé, non già inglobate in altre finalità come quella di “trasparenza”, proprio come il Garante meglio precisava nel suo precedente provvedimento del 2018; altro rischio, pur non menzionato dal Garante e che andrebbe affrontato, è quello di una potenziale profilazione dei contribuenti da parte degli enti coinvolti, la quale – nuovamente – rischia di essere “occultata” in più vaghi riferimenti alla fidelizzazione; d) individua “soglie” (500.000 euro di versamenti o 10.000 scelte ricevute), ai fini della comunicazione dei dati, che possono risultare discriminatorie nei confronti delle organizzazioni “minori”, di fatto escluse dai benefici derivanti da un eventuale contatto con gli interessati; l'unica argomentazione plausibile sarebbe l'alleviare l'onere amministrativo in capo all'Agenzia, nondimeno sarebbe da giustificare alla luce di una disamina più approfondita; e) individua tempi di conservazione dei dati (5 anni) che – in assenza di più chiare motivazioni (allo stato non inferibili) – non appaiono congrui, ritenuti sproporzionatamente eccessivi; tanto più ponendo mente alla necessaria distinzione vista supra, tra finalità che dovrebbero trovare differenti tempi di conservazione; f) non specifica che il consenso degli interessati all'operazione è comunque revocabile in ogni tempo, ai sensi del GDPR (art. 7) – il che non pare una vera criticità, considerato che la normativa esistente non verrebbe derogata, tanto più sul lato informativo (artt. 13-14 GDPR) – potrebbe al più essere oggetto di apposite e contestualizzate precisazioni sulle modalità di revoca, a rafforzare la trasparenza dell'operazione. Come annotato in esergo, a tali indicazioni non è comunque seguita alcuna innovazione della normativa vigente. Sussistono pregressi provvedimenti del Garante sulle erogazioni liberali, quale per es. il provvedimento GPDP dell'11 febbraio 2021sulla conoscibilità dei donatori nell'ambito delle campagne di raccolta fondi per finalità benefiche tramite SMS “solidali” o chiamate telefoniche da rete fissa [doc. web n. 9554603]. In tali occasioni si è rimarcato come il carattere – potenzialmente – particolare (ex art. 9 GDPR) dei dati personali coinvolti (pensiamo al dato sul finanziamento a partiti politici, così come a enti che palesano un certo orientamento filosofico, religioso, l'orientamento sessuale, ecc.) imponga una modifica legislativa focalizzata sulla modulistica della dichiarazione dei redditi, secondo una valutazione squisitamente politica del legislatore. In tal senso depongono sia i precedenti normativi (il citato d.l. n. 140/2013) che “l'esigenza stessa di conferire legittimazione a un'operazione destinata a ripercuotersi, inevitabilmente, su milioni di contribuenti”. Per un confronto, notiamo che nel provvedimento in esame del novembre 2021 non troviamo accenni, all'opposto, al frangente del trattamento di dati particolari – cosa che invece richiederebbe la sottolineatura sia del necessario utilizzo del carattere “esplicito” del consenso, richiesto ai sensi dell'art. 9 lett. a), sia di una base ex art. 6 GDPR, sia delle misure di sicurezza più idonee dedicate al trattamento (più rischioso) di queste tipologie di dati. Sul tema del consenso esplicito, si badi che l'attuale modulistica della dichiarazione dei redditi prevede all'uopo – quanto alla scelta dell'8x1000, 5x1000 e del 2x1000 – una manifestazione di volontà mediante la sottoscrizione della dichiarazione nonché la firma nel riquadro ove si effettua la scelta. BibliografiaAcciai (a cura di), Il telemarketing, tra evoluzione tecnologica e protezione dei dati personali, Roma, 2023; Colombo, Riforma del Terzo Settore, Milano, 2016; Consorti, Gori, Rossi, Diritto del Terzo settore, Bologna, 2021; De Conno, Le Onlus potranno conoscere l'identità dei propri donatori, in www.altalex.com, 28 febbraio 2022; Mazzullo, Il nuovo Codice del terzo settore. Profili civilistici e tributari (d.lgs. 3 luglio 2017, n. 117), Torino, 2017. |
