La scelta fatta dal legislatore europeo con il Regolamento Europeo UE 679/2016 di tutelare esclusivamente le persone fisiche è evidente: emerge dalla stessa lettera del provvedimento, è nello stesso titolo e lo ritroviamo più e più volte in diversi passaggi del testo e nei considerando.
Le persone giuridiche sono fuori dal suo ambito di applicazione. Ma nel caso in cui il nome della società identifichi una persona fisica o se il “dato di contatto” della persona giuridica rappresenti un nome e un cognome di una persona fisica, la risposta non è così netta come a prima vista potrebbe sembrare. Occorre interrogarci sul contesto in cui ciò accade per verificare se quelle informazioni inerenti persone giuridiche possano considerarsi invero “concernenti” persone fisiche e in tal caso occorre interrogarsi se vadano a ricadere comunque nell’ambito di applicazione del GDPR.
Indice degli argomenti
La normativa italiana prima dell’entrata in vigore del Regolamento
Il nostro legislatore, in linea con le previsioni della stessa direttiva europea[1], con l’art. 4 del D.lgs. 196/2003, il Codice Privacy, aveva introdotto una definizione di dato personale la più estesa possibile comprendendo “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Un cambio di rotta si registra nel 2011 con il decreto legge 6 dicembre 2011, n. 201, convertito nella legge 214/2011 (c.d. decreto “Salva Italia”) che, in un’ottica di semplificazione e riduzione degli adempimenti amministrativi per le imprese, introduce il principio che le imprese, gli enti e le associazioni non possono più essere considerati come soggetti interessati al trattamento. Infatti, l’art. 40, comma 2 “Per la riduzione degli oneri in materia di privacy” alla lettera a) espunge dalla definizione riportata all’articolo 4, comma 1, lettera b) del Codice Privacy ogni riferimento alle persone giuridiche, enti e associazioni. In tal modo nel nostro ordinamento da quel momento viene ad essere esclusa l’applicazione delle disposizioni relative al trattamento dei dati personali se riferiti a soggetti nell’esercizio dell’attività di impresa precisando che “In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
Nulla aggiunge sul tema il decreto legislativo 10 agosto 2018, n. 101 che ha provveduto ad adeguare la normativa nazionale alle disposizioni del Regolamento europeo che quindi oggi rimane l’unica disposizione in materia.
Il GDPR e il “dato di contatto”
L’ambito di applicazione del Regolamento europeo è chiaramente espresso:
- all’articolo 1 “stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali…….. protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”;
- all’art. 4 definisce dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica…”;
- al considerando 14 afferma “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.
Da tale quadro è evidente come la definizione di dati personali si riferisce all’individuo, più precisamente alla persona fisica, la sola che può essere considerata interessata al trattamento. Non vengono considerate tali le persone giuridiche, gli enti e le associazioni: i dati e le informazioni che li riguardano non sono in linea di principio disciplinate dalla direttiva e, quindi, non godono della protezione da questa disposta [2].
In particolare, il Considerando 14 integra il quadro di riferimento specificando, ancora più chiaramente, che le informazioni relative a persone giuridiche pur se si sostanziano in “dati personali” non ricadono nell’ambito di applicazione del GDPR, se gli stessi sono riferiti al “nome, forma e dati di contatto” della persona giuridica.
Ne deriva pertanto che non si applica il Regolamento europeo a tutela del nome della persona fisica (ad esempio il titolare) quando viene utilizzato a identificare e viene inserito nel nome e nella forma della persona giuridica.
Ma le certezze, poche, si fermano qui: ci sono alcune zone grigie, casi in cui alcune norme di protezione dei dati possono, in certe circostanze, applicarsi indirettamente alle informazioni concernenti imprese o persone giuridiche[3].
E, a ben guardare, potremmo anche domandarci se tale formulazione possa lasciare spazio, in via deduttiva, a una diversa lettura: ci sono dati personali di persone giuridiche non riferite al “nome, forma e dati di contatto” e quindi soggette al GDPR.
L’attuale quadro normativo ha margini di incertezza; è pertanto opportuno un approccio pragmatico, analizzare casi concreti e valutare l’opportunità di misure di cautela.
Occorre partire da una possibile definizione di “dato di contatto”: tale espressione che può essere tradotta in una informazione che consente di mettere in interrelazione due soggetti che, necessariamente si riferisce a una persona fisica.
Persona fisica che può essere il rappresentante legale, colui che ha il potere di agire, di mettere in esecuzione gli atti in nome e per conto della società stessa ma anche, spesso, il nome e cognome di un dipendente privo di qualsiasi potere di rappresentanza. Occorre interrogarsi se, sulla base della struttura organizzativa propria si può legittimamente estendere la rappresentanza di un soggetto giuridico ma anche riflettere sul fatto che, in tal modo, corriamo il rischio di escludere in capo a tali persone fisiche la tutela dall’ordinamento.
Potrebbe verificarsi che ogni dipendente può, in un dato momento, essere qualificato punto di contatto per un determinato rapporto e quindi vedere venir meno la tutela dei suoi dati personali.
Le implicazioni sono complesse se si guarda i numerosi rapporti tra aziende e non solo. Sono coinvolti un numero rilevante di soggetti e attengono non solo ai rapporti tra imprese ma anche tra imprese e pubblica amministrazione che interagiscono tra loro a vari livelli e per le più diverse tipologie di attività.
Anche se lo scopo del legislatore europeo e nazionale è quello di semplificare la gestione dei dati nell’ambito dei rapporti tra imprese “Non bisogna ampliare troppo l’ambito di applicazione delle norme sulla protezione dei dati”[4] può accadere che i dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona fisica possa vantare alcuni diritti sui suoi dati. Quei dati non sono più suoi.
Infatti, quale dato di contatto di una persona giuridica non potrà esercitare i normali diritti previsti per gli interessati, quali il diritto all’accesso, alla rettificazione o alla cancellazione. Non è questo l’approccio in linea con i principi generali dell’ordinamento giuridico di fronte a quello che rappresenta uno dei diritti fondamentali dell’uomo. Una interpretazione così estesa potrebbe configurare un altro dei paradossi indotti dal GDPR.
E infatti una lettura delle linee guida europee e di alcuni provvedimenti del Garante spinge verso un’altra direzione, molto più cautelativa nei confronti del titolare, laddove un ruolo fondamentale assume il contesto in cui si realizza il trattamento dei dati e le finalità delle operazioni per le quali gli stessi sono trattati, in stretta connessione con le modalità operative che vengono poste in essere.
Persone fisiche e persone giuridiche
Le prime indicazioni ci vengono dal Working Party art.29, parere 4/2007 dove nel definire il concetto e la portata di dato personale, si fanno alcune ipotesi e si giunge a considerazioni molto più cautelative nei confronti della tutela dei dati personali riferibili a persone giuridiche. Testualmente“…. le informazioni sulle persone giuridiche non sono in linea di principio disciplinate dalla direttiva, e quindi non godono della protezione da questa disposta. Ciò nondimeno, alcune norme di protezione dei dati possono, in certe circostanze, applicarsi indirettamente alle informazioni concernenti imprese o persone giuridiche”.
Ci sono quindi casi in cui le informazioni sulle persone giuridiche possono considerarsi “concernenti” persone fisiche in virtù della loro situazione specifica in cui vengono a trovarsi.
È quel che accade nel caso dell’indirizzo e-mail di un’impresa di norma usato da un dato dipendente, o delle informazioni su una piccola impresa (giuridicamente un “oggetto” piuttosto che una persona giuridica) che possono descrivere il comportamento del suo titolare. In tutti questi casi, in cui i criteri di “contenuto”, “finalità” o “risultato” fan sì che le informazioni su una persona giuridica o su un’impresa possano considerarsi come “concernenti” una persona fisica, è opportuno considerare tali informazioni come dati personali e si applicano le norme di protezione dei dati.
Ne consegue che, nella maggioranza dei casi, è opportuno, anche per la commistione che spesso si rileva in questi casi di contemporanea presenza di persone fisiche e giuridiche, di trattare una rubrica o più in generale un indirizzario contenente tali riferimenti come trattamento di dati personali e procedere con la richiesta del consenso o con l’informativa e con l’adozione delle adeguate misure di sicurezza.
Ne consegue che, entrambi i soggetti, chi quelle informazioni raccoglie e chi le fornisce, informino i propri dipendenti, o ne chiedano il consenso al trattamento ove previsto, dando notizia che i dati sono inseriti in un recapito aziendale, che potranno essere comunicati a soggetti esterni per determinate legittime finalità, i tempi di conservazione e i suoi diritti.
Analoga operazione devono fare i due titolari nei confronti degli interessati ai sensi dell’art. 14 del GDPR.
Tale modalità mi pare preferibile alla soluzione che i due titolari debbano reciprocamente assicurarsi di avere ciascuno nel proprio ambito organizzativo fornito l’informazione ai propri dipendenti e reciprocamente scambiarsi una informativa su come useranno i dati di contatto contenenti dati identificativi dei dipendenti del proprio interlocutore contrattuale.
Ovviamente i dati devono essere utilizzati nel rispetto dei principi di cui all’art. 5 del GDPR.
Ne consegue anche l’apposizione di un termine alla durata del trattamento che, sicuramente, nei casi in esame, si sostanzia nell’obbligo di procedere alla cancellazione dalla rubrica del nominativo almeno al momento della cessazione del rapporto di lavoro.
Pertanto, da tale quadro regolatorio pur nella consapevolezza che i dati delle persone giuridiche (compresi i “dati di contatto”) sono fuori dell’ambito di applicazione del Regolamento, ma nella duplice considerazione che sulla portata di tale definizione sussistono ancora dubbi interpretativi emerge l’opportunità, proprio in applicazione di uno dei principi fondanti del Regolamento europeo, quello della minimizzazione dei dati trattati, si conviene l’opportunità di ridurre gli elementi di rischio e di incertezza interpretativa procedendo ad utilizzare indirizzi mail esclusivamente con riferimenti alla carica, alla struttura organizzativa o funzionale, non alla persona fisica che pro tempore ricopre quel ruolo in quella Società tale da consentirle di rappresentare o riferire direttamente in quel dato momento in suo nome e per conto. Semplificando così anche la gestione amministrativa.
È la strada che molte organizzazioni stanno seguendo e anche l’interpretazione consolidata adottata per la pubblicazione dei dati di contatto dei responsabili della protezione dei dati. In tutte le strutture obbligate, pubbliche o private, grandi o piccole che siano, è stata utilizzata la formula RPD@società.com oppure DPO@ente.it. In nessun caso emerge il nome di colui che quella funzione svolge.
Ci troviamo pertanto, indubbiamente di fronte a casi in cui i “dati personali riferibili a persone giuridiche” si trovano de facto soggetti alle norme di protezione dei dati.
Ad una analoga conclusione occorre anche giungere nei casi in cui il titolare raccoglie indistintamente dati sulle persone fisiche e giuridiche e li include negli stessi gruppi di dati. I meccanismi di trattamento dei dati e i sistemi di audit debbono comunque essere concepiti in modo da conformarsi alle norme di protezione dei dati. In tali casi, può risultare più semplice per il titolare applicare le norme sulla protezione dei dati a tutti i tipi di informazioni presenti nei suoi archivi, anziché cercare di distinguere fra informazioni inerenti a persone fisiche o a persone giuridiche.
Ne sono esempi le fattispecie in cui si raccolgono dati che identificano i soggetti – persone fisiche o giuridiche – che presentano osservazioni nell’ambito dei procedimenti di consultazione, finalizzati per lo più all’adozione di provvedimenti di carattere generale da parte di pubbliche amministrazioni.
E proprio con riferimento alla raccolta di dati e informazioni tramite maschere postate su siti web occorre portare l’attenzione su alcuni provvedimenti del Garante che, in materia di trattamenti effettuati per finalità di marketing[5], portano alla conclusione che le persone giuridiche, gli enti e le associazioni sono tutelati dalla normativa in materia di trattamento dei dati personali.
Si fa riferimento al provvedimento n. 4 del 12 gennaio 2017 con il quale il Garante è intervenuto palesando l’illegittimità del trattamento dei dati raccolti da una società di fornitura di servizi informatici mediante il modello predisposto sul proprio sito. Infatti, i dati venivano trattati senza richiedere e ottenere dai clienti-persona giuridica il preventivo e specifico consenso all’invio di comunicazioni automatizzate a contenuto promozionale, secondo quanto prescritto dall’articolo 130, comma 1, del Codice Privacy.
Il Garante ha prescritto, quale misura necessaria, la riformulazione del modello di raccolta dei dati sul proprio sito web, affinché venisse acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali, nonché documentato per iscritto; ha altresì vietato il trattamento per finalità promozionali mediante contatto telefonico dei dati, con riferimento alle numerazioni telefoniche, relativi a liberi professionisti e imprese individuali presenti sui siti web facenti capo ai medesimi.
Sul tema il Garante era già intervenuto[6] subito dopo l’entrata in vigore dell´art. 40, secondo comma, del decreto legge n. 201 del 6 dicembre 2011 che aveva determinato l’esclusione del trattamento dei dati relativo alle persone giuridiche, enti ed associazioni dall’ambito di applicazione del Codice privacy. In quel provvedimento il Garante argomentava il permanere della tutela in capo alle imprese facendo leva su concetto di “contraente” cui fa riferimento il Codice delle comunicazioni elettroniche nulla distinguendo dal fatto che siano o no essi persone fisiche o giuridiche. Pertanto, questi ultimi soggetti “continueranno pertanto a fruire della tutela prevista dal titolo X del codice della privacy per gli abbonati a servizi di comunicazione elettronica”.
Al contrario l’utilizzo del termine “utente” definito come “qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata”, avrebbe segnato la fine della tutela.
Dubbi eventualmente venuti meno con l´art. 1, comma 7, lett. a), n. 3 del d. lgs. 69/2012 che sostituendo il termine “interessato”, con quello di “contraente o utente” ha reso applicabili quelle previsioni anche alle persone giuridiche.
Da ultimo l’intervento del decreto legge 18 aprile 2019, n. 32, convertito con modificazioni, in legge 14 giugno 2019, n. 55 che all’art.1, lettera a), che al di là di ogni ragionevole dubbio, definitivamente riformula la definizione di contraente qualificandolo come la “persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico, per la fornitura di tali servizi”.
Conclusioni
Meritano particolare attenzione alcune considerazioni del Garante, che trovano spazio nella parte finale del provvedimento del 2012, laddove si conclude che ci si trova di fronte ad un “impianto normativo complesso e di non agevole lettura dal quale deriva anche una riduzione di garanzie per le imprese. Ciò, anche a causa di alcuni interventi normativi che, nati con finalità semplificatorie, hanno in molti casi accresciuto il livello di incertezza interpretativa, senza assicurare le auspicate riduzioni di oneri amministrativi”, auspicando infine “un’ulteriore valutazione da parte del Parlamento e del Governo al fine di verificare i presupposti per l’adozione di eventuali provvedimenti di competenza”.
A completare il quadro occorre infine interrogarci se quelle informazioni che stiamo raccogliendo siano loro stesse necessarie ai nostri fini, o possiamo ridurre i rischi connessi al loro trattamento riducendo le informazioni che devono essere trattate in forza del principio enunciato all’articolo 5 del Regolamento “1. I dati personali sono: … c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.[7]
Non bisogna perdere infatti di vista che l’obiettivo delle norme contenute nella direttiva è proteggere i diritti e le libertà fondamentali delle persone, in particolare il diritto alla vita privata, in relazione al trattamento dei dati personali. Queste norme sono state pertanto concepite per applicarsi a situazioni in cui i diritti individuali potrebbero essere a rischio e necessitano pertanto protezione.
Sicuramente il campo d’applicazione delle norme di protezione dei dati personali non va esteso oltre misura, ma bisogna anche evitare di restringere indebitamente il concetto di dati personali. La direttiva ha definito il proprio campo di applicazione escludendo una serie di attività, e ammette una certa flessibilità nell’applicare le norme alle attività rientranti in tale campo.
Alla luce di quanto sopra in considerazione che ci sono informazioni che possono essere considerate dati personali a seconda del contesto e delle circostanze si ritiene quanto opportuno porre in atto sempre comportamenti virtuosi allo scopo di evitare che sia sottratta tutela giuridica a chi di tale tutela ha diritto.
Si eviterà così che, basandosi su una interpretazione terminologica estensiva, non si gestiscano i rischi connessi al trattamento di dati personali di persone fisiche e non si adottino adeguate misure di sicurezza a tutela dei patrimoni aziendali.
- Considerando 24 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati: “Considerando che la presente direttiva lascia impregiudicate le normative relative alla tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano“. ↑
- In tal senso si è pronunciato anche il TAR Sicilia con la Sentenza 1° ottobre 2018, n.2020
“Il GDPR non disciplina in alcun modo il trattamento dei dati che riguardano la persona giuridica atteso che dalla definizione di “dato personale” e di “interessato” (…) rimane escluso qualsiasi riferimento a persone giuridiche, enti o associazioni”. Il TAR ha concluso che, pertanto, “non è applicabile la limitazione contenuta nella normativa invocata dal ricorrente relativa alla protezione dei dati personali, trattandosi –nel caso oggetto della controversia– “della richiesta di informazioni riguardanti non una persona fisica ma una persona giuridica”. Ma il contesto era diverso. ↑
- Alcune disposizioni della direttiva 2002/58/CE sulla protezione della vita privata nel settore delle comunicazioni elettroniche si estendono alle persone giuridiche.
All’articolo 1 si legge: “2. Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE. Esse prevedono inoltre la tutela dei legittimi interessi degli abbonati che sono persone giuridiche“. Di conseguenza, gli articoli 12 e 13 estendono l’applicazione di certe disposizioni sugli elenchi degli abbonati e sulle comunicazioni indesiderate anche alle persone giuridiche. ↑
- WP art. 29 nel Parere 4/2007 sul concetto di dati personali adottato il 20 giugno “Un effetto indesiderato sarebbe che le norme di protezione dei dati si applichino a situazioni che non erano destinate ad essere disciplinate da tali norme e per le quali il legislatore non le aveva previste” ↑
- Provvedimento Garante per la protezione dei dati personali n. 4 del 12 gennaio 2017 Trattamento di dati personali per finalità di marketing. ↑
- Provvedimento Garante per la protezione dei dati personali n. 262 del 20 settembre 2012 in ordine all’applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal decreto legge n. 201 del 20 settembre 2012 in ordine all’applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali. ↑
- La Suprema Corte di Cassazione con ordinanza n.34113 del 19/12/2019 ribadendo le disposizioni afferenti il “principio di necessità nel trattamento dei dati” previsto dall’art. 3 del d.lgs n 196/2003 nonchè quanto previsto dall’art. 11 lett. d), richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (articoli abrogati a seguito dal d.lgs n del 10/08/2018 n. 101). La Corte nella motivazione richiama in proposito il principio stabilito dall’art 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679. ↑
