La titolarità dei dati è qualcosa di mutevole e imprevedibile. Infatti, anche nel caso in cui si sia definito correttamente un trattamento con le relative conseguenze (a titolo esemplificativo, informative, eventuale aggiornamento del registro dei trattamenti, ecc.), ciò non toglie che il titolare di quello specifico trattamento possa cambiare, in modo permanente o temporaneo.
D’altronde, è necessario ricordare che il fine del GDPR è non solo tutelare i dati personali ma anche quello di consentire la loro libera circolazione. Pertanto, anche il titolare del trattamento può cambiare nel corso del tempo e affinchè ciò avvenga in modo lecito e legittimo, sono necessarie alcune valutazioni.
In questa sede saranno valutate le modifiche nella titolarità di un trattamento in relazione a un cambiamento relativo all’intera società o a una parte di essa o a un suo asset, come ad esempio, una banca dati. In linea di massima, è opportuno ricordare che la cessione del dato personale presuppone il consenso dell’Interessato. Tuttavia, nel caso in cui il consenso non possa essere prestato in modo “tradizionale” (ad esempio, attraverso una checkbox), è necessario informare l’Interessato in modo che questi, se lo ritiene, possa esercitare il suo libero arbitrio e decidere che i suoi dati non possono essere trattati dal nuovo Titolare.
Indice degli argomenti
Cessione di ramo d’azienda
Nel caso di cessione di un ramo d’azienda, si verifica un cambiamento permanente nella titolarità del trattamento, poiché l’azienda passa dal Titolare cedente a quello cessionario. In questo caso, come indicato nel Provvedimento 258/2022 del Garante privacy, è necessario informare tutti gli Interessati del cambio di titolarità, ovviamente prima che ciò avvenga. L’informativa in questo caso, dovrà essere redatta ai sensi dell’art. 14 GDPR, poiché i dati degli Interessati non sono stati raccolti direttamente presso questi ultimi dal cessionario ma dalla parte cedente. Inoltre, al riguardo non è considerata un’eccezione il fatto che i trattamenti o le finalità alla base di questi ultimi siano rimasti gli stessi, come erroneamente indicato nella sentenza 5369/2017 del Tribunale di Cagliari poi annullata dalla Cassazione con la sentenza 27325/2021 secondo cui “il trasferimento dei dati dal titolare originario ad un altro soggetto (…), dà luogo alla cessazione del trattamento originario – non alla successione nello stesso – comportando quindi l’inizio di un distinto trattamento ad opera del nuovo titolare, tenuto al rispetto della complessiva disciplina in tema di informativa e consenso”.
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Al riguardo, è interessante considerare anche con il Provvedimento 97/2015 il Garante ha previsto che, nel caso in cui la cessione riguardi una mole notevole di dati personali che renderebbe particolarmente difficile se non impossibile una comunicazione individuale nei confronti di tutti gli Interessati, l’informativa può essere diffusa anche tramite modalità “alternative e semplificate” quali un avviso pubblicato sul sito della società o annunci pubblicati su quotidiani a diffusione nazionale.
Affitto di ramo d’azienda
Diverso invece, è l’affitto di ramo d’azienda. Infatti, se come detto, nel primo caso, si verifica una modifica permanente della titolarità, nel caso dell’affitto, tale modifica è temporanea, dal momento che il relativo contratto prevede una scadenza che può essere più o meno lunga. In questo caso, è necessario distinguere i “vecchi” Interessati e quelli “nuovi”, cioè gli Interessati i cui dati sono stati acquisiti e trattati dopo l’effettivo cambiamento societario. Infatti, per quanto riguarda i primi, questi ovviamente devono essere informati della modifica che si vuole realizzare; per quanto riguarda i secondi, invece, sono acquisiti direttamente dal nuovo titolare e quindi, non devono essere informati del cambiamento effettuato. Tuttavia, come indicato dal codice civile e dal Provvedimento 322/2015 del Garante, scaduto il contratto di affitto, il bene affittato deve essere restituito all’affittuario nelle stesse condizioni in cui si trovava al momento della stipulazione del contratto. Di conseguenza, il Conduttore dovrà restituire all’Affittuario l’intera banca dati “affittata”, al netto invece dei dati acquisiti dal Conduttore nell’ambito dell’attività svolta come Titolare del trattamento. Ciò non toglie che il nuovo Titolare è comunque responsabile dei trattamenti posti in essere dall’Affittuario ma perseguiti e realizzati anche da lui stesso. Infatti, come indicato nel Provvedimento 32/2019 in cui si ragionava sull’impianto di videosorveglianza installato dalla società Affittuaria in un negozio poi affittato ad una nuova società, “la titolarità̀ del trattamento dei dati personali ricade unicamente sulla parte, che difatti utilizza e dispone dell’impianto in piena autonomia, ancorché́ questo sia stato installato dal precedente proprietario”.
Fusione e scissione della società
In relazione alla fusione e alla scissione tra due o più società, il Garante privacy si è già espresso nel 2009 con delle prescrizioni al riguardo. Infatti, secondo il documento, nel caso di fusione per incorporazione o di fusione tra più società, quella incorporante e quella nasce dalla fusione assumono, rispettivamente, i diritti e gli obblighi della società incorporata e i diritti e obblighi delle società che si sono fuse. Di conseguenza, anche i dati personali trattati in prima battuta dalla società incorporata o da quelle che si sarebbero poi fuse, saranno poi trattati dalla società incorporante o da quella che nasce dalla fusione. Anche in questo caso, gli Interessati devono essere informati di quanto sta accadendo, non solo per informarli meramente dell’identità del nuovo Titolare ma anche per comunicargli i vari dati di contatto cui l’Interessato può rivolgersi per esercitare uno dei diritti previsti dal GDPR.
Infine, oltre a questi accorgimenti e valutazioni da effettuarsi al momento del cambiamento societario, ce ne sono altri che dovrebbero essere svolti quando del suddetto cambiamento si sta appena iniziando a parlare. Infatti, è necessario interrogarsi, anche e soprattutto nei casi in cui, ad esempio, l’affitto riguardi una banca dati di proprietà della società Affittuaria, sulla qualità dei dati personali. Ciò vuol dire che se la finalità dell’affitto è quello di inviare delle DEM agli Interessati, è necessario verificare che quelle liste di contatti siano state effettivamente raccolte in modo lecito a priori, cioè siano state sottoposte a consenso e siano state raccolta rispettando i vari principi del GDPR. Infatti, sarebbe decisamente grottesco fare correttamente quanto detto su come deve avvenire il cambiamento per poi trovarsi in mano dei dati che non possono essere usati e per le cui eventuali violazioni sarebbe responsabile l’ultimo arrivato.
