Il presente contri­buto nasce da espe­rienze recenti dell’autore nell’ambito della messa in confor­mità di fonda­zioni umani­ta­rie e dalla volontà di condi­vi­dere rifles­sioni perso­nali e prassi delle auto­rità di controllo a bene­fi­cio degli opera­tori del settore. Il punto di partenza, gene­ra­liz­zato per sempli­fi­care l’esposizione, riguarda un’ipotetica fonda­zione con sede nel Principato del Liechtenstein che presta soste­gno a persone fisiche indi­genti e inferme (nel seguito, la “Fondazione”). Le richieste di soste­gno proven­gono sia diret­ta­mente dalle persone biso­gnose sia da persone terze (ad es. enti senza scopo di lucro e missio­nari). Tali richieste compren­dono dati perso­nali ordi­nari (ad es. nome, cognome, scuola frequen­tata, datore di lavoro, indi­rizzo ecc.) come pure dati appar­te­nenti a cate­go­rie parti­co­lari (special­mente dati rela­tivi alla salute) concer­nenti i bene­fi­ciari finali del soste­gno richiesto.

Occorre preci­sare, ai fini del presente contri­buto, che spesso i desti­na­tari finali non hanno accesso alla tecno­lo­gia, non sono in grado di leggere e scri­vere, sono orfani oppure soffrono di pato­lo­gie serie. Si aggiunga che in genere è diffi­cile, seppur non impos­si­bile, pren­dere contatto con le persone inter­es­sate. La Fondazione, per adem­piere alla propria missione umani­ta­ria, racco­glie ed elabora i dati perso­nali summen­zio­nati, da una parte, per valu­tare se la richiesta di soste­gno rien­tra nello scopo della Fondazione e, dall’altra, per erogare concre­ta­mente il sostegno.

Il Regolamento gene­rale sulla prote­zione dei dati (RGPD), appli­ca­bile al Principato del Liechtenstein in quanto membro dello Spazio Economico Europeo (SEE) a far conto dal 20 luglio 2018 per effetto della deci­sione di inte­gra­zione nell’Accordo SEE datata 6 luglio 2018 del Comitato misto SEE, stabi­lisce che, in base al prin­ci­pio di liceità, in rela­zione a ogni trat­ta­mento di dati perso­nali debba essere adem­piuta una delle condi­zioni di liceità previste dall’art. 6 RGPD. La norma­tiva stabi­lisce inoltre che il trat­ta­mento di dati perso­nali parti­co­lari, fra i quali rien­trano i dati rela­tivi alla salute, è vietato, salvo che sussista una deroga al divieto in base all’art. 9 RGPD. Tale mecca­nismo si diffe­ren­zia profon­da­mente dall’approccio sviz­zero, confer­mato sotto l’egida della nuova legge fede­rale sulla prote­zione dei dati (nLPD), per cui solo i trat­ta­menti di dati perso­nali che costi­tuis­cono una viola­zione della perso­na­lità, e come tali risul­tano ille­citi, devono essere gius­ti­fi­cati da un motivo rico­nos­ciuto dalla legge (art. 30 e 31 nLPD).

In questo contesto si pone il fulcro del presente contri­buto. Premesso che la Fondazione tratta dati perso­nali ordi­nari e parti­co­lari esclu­si­va­mente nell’ambito dell’adempimento delle fina­lità umani­ta­rie stabi­lite dallo statuto, si pongono due quesiti :

1. in rela­zione ai dati sani­tari, è suffi­ciente che sussista un caso di non appli­ca­zione del divieto giusta l’ 9 RGPD (quale norma speciale) oppure occorre che sussista (cumu­la­ti­va­mente) una condi­zione di liceità giusta l’art. 6 RGPD ?
2. quali fonda­menti giuri­dici giusta gli 6 e 9 RGPD potrà invo­care la Fondazione per gius­ti­fi­care il trat­ta­mento di dati ordi­nari rispet­ti­va­mente sani­tari nell’ambito del perse­gui­mento del proprio scopo umanitario ?

La risposta al primo quesito, contro-intui­ti­va­mente, è nega­tiva : il trat­ta­mento di dati rela­tivi alla salute richiede cumu­la­ti­va­mente l’adempimento di una condi­zione di liceità giusta l’art. 6 RGPD e l’esistenza di un caso di deroga al divieto di trat­ta­mento giusta l’art. 9 RGPD, onde garan­tire che a tale cate­go­ria parti­co­lare di dati, secondo la logica della norma­tiva, sia attri­buita una prote­zione aggiun­tiva rispetto ai dati ordi­nari. L’esistenza di una deroga giusta l’art. 9 RGPD non implica in effetti auto­ma­ti­ca­mente una prote­zione più rigo­rosa rispetto alle condi­zioni di trat­ta­mento stabi­lite dall’art. 6 RGPD. Tale conclu­sione trova espli­cita conferma nelle Linee-guida 03/​2020 del Comitato euro­peo per la prote­zione dei dati (European Data Protection Board, EDPB) sul trat­ta­mento dei dati rela­tivi alla salute a fini di ricerca scien­ti­fica nel contesto dell’emergenza legata al COVID-19 del 21 aprile 2020, che recita : “Tutti i trat­ta­menti di dati perso­nali rela­tivi alla salute devono essere conformi ai prin­cipi in mate­ria di trat­ta­mento di cui all’arti­colo 5 del RGPD e a uno dei fonda­menti di liceità e alle dero­ghe speci­fiche indi­cati rispet­ti­va­mente all’arti­colo 6 e all’arti­colo 9 del RGPD affin­ché sia assi­cu­rata la liceità del trat­ta­mento di tale cate­go­ria parti­co­lare di dati perso­nali” (pto. 15.).

Nondimeno, confe­rire carat­tere asso­luto a tale conclu­sione non ci pare corretto, nel senso che potreb­bero sussis­tere casi in cui la sola appli­ca­zione dell’art. 9 RGPD garan­tisca, di per sé, la prote­zione adeguata e suffi­ciente dei dati parti­co­lari. In tale dire­zione, sotto l’egida della Direttiva 95/​46/​CE (che imple­men­tava un mecca­nismo del tutto analogo a quello del RGPD), va il Gruppo di lavoro arti­colo 29 per la prote­zione dei dati (“WP29”), quando conclude come “… debba essere effet­tuata un’analisi caso per caso valu­tando se l’articolo 8 [NDA dispo­si­zione corris­pon­dente all’art. 9 RGPD] preveda di per sé condi­zioni più rigo­rose e suffi­cienti o se sia neces­sa­ria un’applicazione cumu­la­tiva degli arti­coli 8 e 7 [NDA dispo­si­zione corris­pon­dente all’art. 6 RGPD] al fine di garan­tire la piena prote­zione degli inter­es­sati. In nessun caso l’esito dell’esame deve compor­tare una minore prote­zione per cate­go­rie parti­co­lari di dati” (vedi Parere 6/​2014 sul concetto di inter­esse legit­timo del respon­sa­bile del trat­ta­mento ai sensi dell’articolo 7 della diret­tiva 95/​46/​CE, para­grafo III.1.2.).

Giungendo al secondo quesito, occorre pren­dere innan­zi­tutto in consi­de­ra­zione l’art. 9 RGPD e, ove sussista un caso di deroga al divieto di trat­ta­mento, valu­tare se l’art. 6 RGPD preveda una condi­zione di liceità. Considerando le dero­ghe giusta l’art. 9 RGPD, emer­gono prima facie le seguenti ipotesi :

• Consenso espli­cito dell’interessato (ove nella sua dispo­ni­bi­lità secondo il diritto applicabile)

Seppur appaia come la scelta più ovvia e prudente, il presup­posto secondo cui il consenso debba essere non solo espli­cito bensì (inter alia) effet­tivo, compro­vato e auten­ti­ca­mente libero (consi­de­rando 42) impe­disce ragio­ne­vol­mente il ricorso al tale fonda­mento nel caso della Fondazione (le persone inter­es­sate sono in stato di biso­gno, prive di istru­zione e con accesso ridotto ai mezzi di comunicazione).

• Trattamento neces­sa­rio per tute­lare un inter­esse vitale qualora l’in­te­res­sato si trovi nell’in­ca­pa­cità fisica o giuri­dica di pres­tare il proprio consenso

Tale deroga appare adatta al caso concreto, anche se le fonda­zioni umani­ta­rie non contri­buis­cono neces­sa­ria­mente a tute­lare inter­essi che riguar­dano il “fulcro vitale” del bene­fi­cia­rio e quest’ultimo in genere non si trova in uno stato, perlo­meno tecni­ca­mente, di “inca­pa­cità” di fornire il consenso al trattamento.

• Trattamento effet­tuato, nell’am­bito delle sue legit­time atti­vità e con adeguate garan­zie, da una fonda­zione, asso­cia­zione o altro orga­nismo senza scopo di lucro che perse­gua fina­lità poli­tiche, filo­so­fiche, reli­giose o sinda­cali, a condi­zione che il trat­ta­mento riguardi unica­mente i membri, gli ex membri o le persone che hanno rego­lari contatti con la fonda­zione, l’as­so­cia­zione o l’or­ga­nismo a motivo delle sue fina­lità e che i dati perso­nali non siano comu­ni­cati all’es­terno senza il consenso dell’interessato

Tale motivo di deroga appare escluso, dal momento che (i) il trat­ta­mento non riguarda le persone preci­sate dalla dispo­si­zione bensì semplici richie­denti o bene­fi­ciari (attuali o poten­ziali) delle pres­ta­zioni umani­ta­rie che non hanno contatti rego­lari con la Fondazione e (ii) lo scopo della Fondazione non persegue fina­lità poli­tiche, filo­so­fiche, reli­giose o sinda­cali (libertà fonda­men­tali), bensì mera­mente assistenziali.

• Il trat­ta­mento è neces­sa­rio per motivi di inter­esse pubblico rile­vante sulla base del diritto dell’Unione o degli Stati membri, che deve essere propor­zio­nato alla fina­lità perse­guita, rispet­tare l’es­senza del diritto alla prote­zione dei dati e preve­dere misure appro­priate e speci­fiche per tute­lare i diritti fonda­men­tali e gli inter­essi dell’interessato

Seppur il tenore lette­rale appaia inter­es­sante ai fini della nostra disa­mina (le fonda­zioni umani­ta­rie svol­gono atti­vità che global­mente servono l’interesse della collet­ti­vità anche se bene­fi­ciari sono singoli indi­vi­dui), i consi­de­randa 55 e 56 fornis­cono esempi chia­ra­mente orien­tati all’attività e al funzio­na­mento dello Stato, come i trat­ta­menti svolti da auto­rità pubbliche allo scopo di realiz­zare fini di asso­cia­zioni reli­giose uffi­cial­mente rico­nos­ciute oppure i trat­ta­menti svolti da partiti poli­tici, nel corso di atti­vità elet­to­rali, gius­ti­fi­cate dal funzio­na­mento del sistema demo­cra­tico, tendenti alla raccolta di dati perso­nali sulle opinioni poli­tiche delle persone ; per questi motivi, il ricorso a tale deroga appare concre­ta­mente escluso.

Come emerge dalla disa­mina di cui sopra, iden­ti­fi­care la deroga corretta nel caso concreto è un compito complesso e incerto, in parti­co­lare a causa dell’ambizione del RGPD (lode­vole ma insi­diosa) di anti­ci­pare e di disci­pli­nare nel detta­glio ogni situa­zione. Tale incer­tezza, peral­tro, mal si conci­lia con le pesanti sanzioni in caso di viola­zione delle dispo­si­zioni sui prin­cipi del trat­ta­mento (sanzione ammi­nis­tra­tiva pecu­nia­ria fino a EUR 20’000’000.-, o, per le imprese, fino al 4% del fattu­rato mondiale totale annuo). Ben venga dunque un approc­cio, come quello sviz­zero, prag­ma­tico e flessibile.

In conclu­sione, quale deroga al divieto scegliere ? Personalmente non esite­rei a scegliere l’interesse vitale dell’in­te­res­sato inca­pace di pres­tare il proprio consenso (art. 9 par. 2 let. C RGPD). Tale scelta è coerente con il parere (non pubbli­cato) dell’Autorità di vigi­lanza del Liechtenstein in un caso concreto, in cui la stessa, rinviando al consi­de­rando 46 (che concerne la condi­zione di cui all’art. 6 RGPD di analogo conte­nuto), pur ammet­tendo che l’interesse vitale è sussi­dia­rio rispetto alle altre dero­ghe (in parti­co­lare al consenso espli­cito, ove prati­ca­bile), fa rien­trare le fina­lità umani­ta­rie sotto l’art. 9 par. 2 let. c RGPD). Si tratta a nostro giudi­zio di un’interpretazione corretta e ragio­ne­vole della norma, ancor­ché il consi­de­rando 46 evochi quali esempi di appli­ca­zione eventi gravi come pande­mie, emer­genze umani­ta­rie e catastrofi.

Appurato che sussiste concre­ta­mente una deroga al divieto di trat­ta­mento di dati rela­tivi alla salute per scopi umani­tari giusta l’art. 9 RGPD e consi­de­rato che, a nostro avviso, tale deroga non soddisfa (per “assor­bi­mento”) con suffi­ciente certezza l’art. 6 RGPD, occorre iden­ti­fi­care una condi­zione appli­ca­bile secondo quest’ultima dispo­si­zione. Anche in questo caso sorgono varie ipotesi :

• Consenso (ordi­na­rio) dell’interessato

Per i motivi di cui sopra, tale opzione non è gene­ral­mente prati­ca­bile nel caso ipotizzato.

• Trattamento neces­sa­rio all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precon­trat­tuali adot­tate su richiesta dello stesso

Tale condi­zione appare di primo acchito idonea, nella misura in cui si consi­deri che il bene­fi­cia­rio finale di una pres­ta­zione umani­ta­ria, ancor­ché in genere rappre­sen­tato da terzi, sia richie­dente nella fase di valu­ta­zione della richiesta di soste­gno (fase pre-contrat­tuale) e, in caso di esito posi­tivo, bene­fi­cia­rio di una pres­ta­zione contrat­tuale (fase di adem­pi­mento); ciò è il caso, posto che l’erogazione di un contri­buto econo­mico da parte di una fonda­zione umani­ta­ria privata, essendo volon­ta­rio, riveste chia­ra­mente carat­tere contrat­tuale (dona­zione).

• Salvaguardia degli inter­essi vitali dell’interessato, quale ipotesi sussi­dia­ria ad altre condi­zioni (vedi consi­de­rando 46)
• Esecuzione di un compito di inter­esse pubblico o connesso all’e­ser­ci­zio di pubblici poteri di cui è inves­tito il tito­lare del trattamento

Posto che l’attività umani­ta­ria ipotiz­zata è svolta a titolo volon­ta­rio da un soggetto privato e consi­de­rato il consi­de­rando 45 (che rinvia a trat­ta­menti effet­tuati sulla base del diritto di uno Stato membro o dell’Unione), non rite­niamo che si possa ragio­ne­vol­mente ipotiz­zare in capo alla Fondazione un “compito di inter­esse pubblico” di cui essa sia “inves­tita” per effetto del diritto del Liechtenstein.

• Perseguimento del legit­timo e premi­nente inter­esse del tito­lare del trattamento

A nostro avviso, le atti­vità di trat­ta­mento della Fondazione dettate dal perse­gui­mento dello scopo statu­ta­rio in favore della persona inter­es­sata (sia essa richie­dente, diret­ta­mente o tramite procu­ra­tore, oppure sempli­ce­mente bene­fi­cia­ria de facto), nella misura in cui l’interessato, al momento della raccolta dei dati perso­nali, possa ragio­ne­vol­mente atten­dersi che abbia luogo un trat­ta­mento per fina­lità di assis­tenza (vedi consi­de­rando 47), rien­trano nel perime­tro della dispo­si­zione in ques­tione ; tale argo­men­ta­zione trova conferma, seppur a contra­rio, nel succi­tato Parere 6/​2014 WP29, il quale nega il ricorso al legit­timo inter­esse nel caso delle atti­vità di marke­ting profi­lato, le quali non rien­trano nelle atti­vità defi­nite dallo scopo statu­ta­rio degli orga­nismi senza fini di lucro e pertanto ecce­dono le “ragio­ne­voli aspet­ta­tive” delle persone inter­es­sate (vedi esem­pio 7, pag. 72); è inter­es­sante infine sotto­li­neare che il Garante italiano per la prote­zione dei dati perso­nali ha auto­riz­zato in via gene­rale il trat­ta­mento dei dati perso­nali rela­tivi ai bene­fi­ciari di pres­ta­zioni da parte di fonda­zioni ove tale trat­ta­mento avvenga nell’ambito dello statuto e/​o dell’atto costi­tu­tivo (vedi Allegato n. 1, sezione 2 del Provvedimento 13 dicembre 2018 che indi­vi­dua le pres­cri­zioni conte­nute nelle Autorizzazioni gene­rali nn. 1/​2016, 3/​2016, 6/​2016, 8/​2016 e 9/​2016 che risul­tano compa­ti­bili con il Regolamento e con il d.lgs. n. 101/​2018 di adegua­mento del Codice).

In conclu­sione, quale condi­zione di liceità scegliere ? Personalmente opte­rei, ove la via del consenso non fosse prati­ca­bile, per la condi­zione concer­nente il trat­ta­mento di dati in ambito precon­trat­tuale rispet­ti­va­mente contrat­tuale, sempre­ché il bene­fi­cia­rio ultimo sia il richie­dente (diret­ta­mente o tramite procu­ra­tore) e pertanto abbia qualità di dona­ta­rio, mentre il legit­timo inter­esse della fonda­zione umani­ta­ria lo riser­ve­rei al caso in cui la persona inter­es­sata assurga a semplice bene­fi­cia­rio de facto del contri­buto umani­ta­rio. Ancora una volta giunge in aiuto l’Autorità di vigi­lanza del Liechtenstein, che conferma il legit­timo ricorso alla condi­zione di cui all’art. 6 par. 1 let. b RGPD (precon­tratto rispet­ti­va­mente contratto) nel caso in cui il la persona inter­es­sata /​ bene­fi­cia­ria sia richie­dente e parte al contratto di sostegno.

Dovendo conclu­dere per esigenze di spazio, è impor­tante rile­vare quanto il RGPD possa essere di complessa e incerta appli­ca­zione e quanto sia impor­tante la dispo­ni­bi­lità delle Autorità di vigi­lanza nel suppor­tare gli assog­get­tati in fase di adem­pi­mento. Ciò a maggior ragione nel campo umani­ta­rio, dove occorre asso­lu­ta­mente evitare la tenta­zione (ricor­rente sul campo) di rinun­ciare a deter­mi­nate atti­vità di assis­tenza per timore di violare le norme sulla prote­zione dei dati perso­nali. Ci pare infine oppor­tuno racco­man­dare alle fonda­zioni umani­ta­rie di sensi­bi­liz­zare le proprie contro­parti (locali), quali orga­nismi senza scopo di lucro, a comu­ni­care infor­ma­zioni rela­tive ai bene­fi­ciari finali in maniera per quanto possi­bile anoni­miz­zata o pseu­do­ni­miz­zata, posto che l’identificazione di tali soggetti in genere non è rile­vante per la deci­sione di conces­sione del sostegno.