Come noto, il Regolamento UE 2016/679 (“GDPR”) prevede una serie di norme in materia di protezione dei dati personali applicabili unicamente alle persone fisiche e non anche alle persone giuridiche, ovvero alle imprese dotate di personalità giuridica che, nel nostro ordinamento, sono le società a responsabilità limitata, le società per azioni, le società in accomandata per azioni e le società cooperative.
Non sono, quindi, oggetto di tutela della predetta normativa tutti i dati riferiti a queste ultime, tra cui rientrano il nome, la forma e i dati di contatto.
Ma siamo veramente sicuri che non ci siano dei casi in cui tali disposizioni normative non trovino applicazione anche nei confronti delle persone giuridiche? Andiamo a scoprirlo insieme.
Persone fisiche e persone giuridiche alla luce del GDPR
Come detto, con il GDPR il legislatore europeo ha voluto attribuire una tutela unicamente al trattamento dei dati personali delle persone fisiche, non prevedendo, invece, alcun tipo di protezione per il trattamento dei dati delle persone giuridiche.
L’art. 1 prevede, infatti, espressamente che “il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle personae fisiche in particolare il diritto alla protezione dei dati personali”.
Ma non solo. Il dato personale viene definito all’art. 4 come “qualsiasi informazione riguardante una persona fisica identificata e identificabile (cd. interessato)” e il considerando 14 precisa che “il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.
Nonostante la chiarezza del tenore normativo, esistono però una serie di “zone d’ombra” in cui non risulta così pacifico ritenere che la normativa in materia di protezione dei dati personali non possa trovare applicazione anche nei confronti delle persone giuridiche.
Si pensi, ad esempio, alle imprese individuali ed alle loro denominazioni in cui compare sempre il nome del relativo titolare (persona fisica) e su cui il Garante per la protezione dei dati personali si è più volte espresso accordando loro una tutela, qualora dal trattamento di detti dati sia possibile identificare una persona fisica.
Analoga situazione si verifica altresì nei confronti dei liberi professionisti muniti di partita iva, delle società in accomandita semplice e delle società in nome collettivo e nel caso di indirizzi e-mail di una società che contengono i nomi e i cognomi dei dipendenti (ad esempio, nome.cognome@nomesocietà.it) da cui è, quindi, possibile ricavare informazioni identificative proprio di quest’ultimi.
E con riferimento ai semplici dati di contatto delle società (ad esempio, info@nomesocietà.it), ci sono dei casi in cui questi possono godere della protezione della normativa in materia di protezione dei dati personali?
L’eccezione disciplinata dal Codice Privacy
La risposta è affermativa. Infatti, sebbene le disposizioni contenute nel GDPR non siano applicabili alle persone giuridiche, esistono alcune eccezioni disciplinate dal D. Lgs. 196/2003 (di seguito “Codice Privacy”).
Nello specifico, all’interno del Titolo X del Codice Privacy sono previste una serie di norme – derivanti dal recepimento della direttiva 2009/136/CE che, a sua volta, aveva modificato la direttiva 2002/58/CE cd. direttiva ePrivacy – che attribuiscono un’apposita tutela privacy anche alle persone giuridiche, in quanto rientranti nella definizione di “contraente” sancita dallo stesso Codice Privacy. Il contraente – la cui nozione è analoga a quella di “abbonato” presente proprio nelle predette direttive – è da intendersi, infatti, come “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”.
È, quindi, chiaro che in alcune e ben specifiche ipotesi anche le persone giuridiche possano godere della protezione stabilita dalla normativa privacy. Rientra in tale casistica il trattamento dei dati di contatto delle persone giuridiche (definite come contraenti) per l’invio di comunicazioni elettroniche a contenuto promozionale ed a mezzo posta elettronica, telefax, messaggi di tipo MMS o SMS, per la cui liceità sarà necessaria l’acquisizione del consenso, così come peraltro espressamente sancito dall’art. 130 del Codice Privacy.
Analoga situazione si verifica qualora vengano utilizzati sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, che risultano consentiti solo in presenza di consenso del contraente.
Ogniqualvolta, quindi, la persona giuridica assuma la veste di “contraente”, sarà necessario prestare la massima attenzione alla normativa privacy prima di procedere con il trattamento dei relativi dati.
Conclusioni
Di fronte al predetto impianto normativo, è opportuno che i titolari del trattamento adottino un atteggiamento pragmatico. Ogni situazione dovrà, quindi, essere attentamente valutata al fine di garantire la corretta applicazione della normativa in materia di protezione dei dati personali e l’individuazione delle più adeguate cautele.
Certo è che ogniqualvolta i titolari del trattamento si trovino di fronte a un potenziale trattamento di dati di persone giuridiche dovranno avere l’accortezza di valutare le finalità del trattamento e, conseguentemente, verificare se la normativa privacy possa o meno ritenersi applicabile, anche al fine di evitare di incorrere nelle ingenti sanzioni sancite dal GDPR.
