Il Regolamento Europeo UE 679/2016, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (GDPR 2018, che letteralmente sta per “General Data Protection Regulation”) è entrato in vigore il 24 maggio 2016 ed è diventato direttamente applicabile e vincolante in tutti gli Stati membri a partire dal 25 maggio 2018, abrogando la Direttiva 95/46/CE, come previsto dall’art. 94.
GDPR, persone fisiche e persone giuridiche
Tale Regolamento, avente portata generale, delinea l’indirizzo della disciplina della protezione dei dati personali nei riguardi della persona fisica.
Infatti, l’art. 1 afferma che “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”.
Nessun margine di tutela, dunque, per le persone giuridiche.
Di più, l’art. 4, definendo il dato personale, specifica che dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificazione online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Nel Regolamento Europeo, dunque, dalla definizione di “dato personale” e di “interessato” rimane escluso qualsiasi riferimento a persone giuridiche, enti od associazioni.
È chiaro allora che il fine principale del Regolamento faccia riferimento alla protezione della persona fisica-individuo con riguardo al trattamento dei dati di carattere personale. Ancor più chiaro è che il regolamento non disciplina in modo alcuno il trattamento dei dati che riguardano la persona giuridica. In particolare, il nome stesso e la forma della persona giuridica, nonché i suoi dati di contatto, sono dati per i quali non è previsto alcun tipo di tutela o garanzia.
Cosa dice la normativa italiana
In verità, nella nostra normativa, la definizione di dato personale era tanto ampia da includere “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” come previsto dall’art. 4 del D.lgs. 196/2003, cd. Codice della Privacy.
Senonché il D.L. 201/2011, convertito nella L. 214/2011 (c.d. decreto “Salva Italia”), in un’ottica di semplificazione, intervenendo sull’articolo 5 del Codice della Privacy, ha escluso l’applicazione delle disposizioni relative al trattamento dei dati personali qualora riferiti a soggetti nell’esercizio dell’attività di impresa, limitandone la portata alle sole persone fisiche, prevedendo testualmente che “In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”
Di rilievo è l’art. 40, comma 2, lettera a) del D.L. che definisce il dato personale e l’interessato epurandoli da qualsiasi riferimento a persone giuridiche, enti o associazioni. Si legge infatti che per dato personale si intende “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” e che per interessato si fa riferimento a “la persona fisica cui si riferiscono i dati personali”.
Gli effetti della normativa sui dati delle persone giuridiche
L’obiettivo di fondo del legislatore è stato quello di ridurre gli oneri per le imprese in materia di privacy ottenendo, però, un effetto del tutto particolare: i dati di persone giuridiche, enti ed associazioni possono essere raccolti, ma anche trattati e finanche comunicati senza che i diretti interessati possano vantare alcun diritto su di essi.
Con l’art. 40, persone giuridiche, enti ed associazioni non hanno più il diritto ad ottenere: l’accesso ai propri dati personali, l’indicazione sull’origine, le finalità e modalità del trattamento, gli estremi identificativi del titolare del trattamento, la rettificazione o l’aggiornamento e persino la cancellazione.
Di più: scompaiono i principi di liceità del trattamento, di scopo determinato, esplicito e legittimo che contraddistingue la raccolta dei dati e di conservazione del dato in una forma che permetta di identificare l’interessato per il solo periodo di tempo necessario al fine ultimo per cui il dato è stato raccolto.
Volendo fare un esempio concreto: esistono delle banche dati che raccolgono informazioni creditizie, che permettono di valutare il grado di affidabilità di un cliente che richiede, ad esempio, un prestito. Il Codice della Privacy dettava una regolamentazione di tale attività informata al Codice di deontologia e di buona condotta per i sistemi informativi in tema di crediti al consumo (cfr. allegato 5 al Codice).
In virtù della modifica al Codice della Privacy ad opera del D.L., nessuna persona giuridica avrà più il diritto ad un’informativa precisa sulla modalità del trattamento dei dati né i tempi di conservazione né l’avvertimento della registrazione del dato nelle banche dati e neppure di essere informati circa il rigetto della richiesta del credito a causa di informazioni negative inserite nelle banche dati.
L’eccezione telemarketing
Fanno eccezione al regime su esposto alcune disposizioni in tema di “comunicazioni indesiderate”. In particolar modo l’articolo 130, 1 c., del Codice della Privacy dispone che “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”. Ancora, il 2 comma stabilisce che “la disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo MMS o SMS o di altro tipo”.
La persona giuridica quale parte di un contratto con un fornitore di servizi
Il D.Lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE, ha parzialmente modificato alcune disposizioni del capo 1 (“Servizi di comunicazione elettronica”) del titolo X (“Comunicazioni elettroniche”) del Codice, di diretta derivazione comunitaria, emanate in attuazione della direttiva 2002/58/CE, estendendo la disciplina della protezione dei dati al contraente persona giuridica quale parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico.
La disposizione di cui all’art. 130 è estremamente chiara quando si riferisce al contraente e non già all’interessato-persona fisica cui si riferiscono i dati.
E a rafforzare l’idea c’è l’art. 4, 2 c., del Codice il quale definisce il contraente come “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico […]”.
Consegue naturalmente che, se una persona giuridica assume la veste di contraente, il trattamento dei suoi dati personali per l’invio di comunicazioni automatizzate a contenuto promozionale rispetta il principio di legittimità solo se sia stato domandato e accordato il suo preliminare consenso.
A conferma di ciò vi è anche una pronuncia del Tribunale di Napoli (II sez., ordinanza 1 Dicembre 2017) che, “nell’ambito di un procedimento ex articolo 700 c.p.c. per chiedere la cancellazione del nominativo di una società dall’elenco della centrale rischi con effetto retroattivo”, ha stabilito, con riferimento alle persone giuridiche, la sola applicabilità del Titolo X (Comunicazioni elettroniche).
In ogni caso, le informazioni sulle persone giuridiche possono considerarsi “concernenti” persone fisiche in virtù della loro situazione specifica (WP29, dal Parere 4/2007 sul concetto di dati personali del WP29). “È quel che accade quando il nome di una persona giuridica deriva dal nome di una persona fisica, oppure nel caso dell’indirizzo e-mail di un’impresa di norma usato da un dato dipendente, o delle informazioni su una piccola impresa (giuridicamente un “oggetto” piuttosto che una persona giuridica) che possono descrivere il comportamento del suo titolare. In tutti questi casi, in cui i criteri di “contenuto”, “finalità” o “risultato” fan sì che le informazioni su una persona giuridica o su un’impresa possano considerarsi come “concernenti” una persona fisica, è opportuno considerare tali informazioni come dati personali e si applicano le norme di protezione dei dati.
Peraltro, è possibile che conseguentemente a modalità pratiche disposte dal titolare del trattamento, i dati sulle persone giuridiche siano soggetti di fatto alle norme di protezione dei dati. Si legge nel Parere 4/2007: “Quando il titolare del trattamento raccoglie indistintamente dati sulle persone fisiche e giuridiche e li include negli stessi gruppi di dati, i meccanismi di trattamento dei dati e i sistemi di audit possono essere concepiti in modo da conformarsi alle norme di protezione dei dati”. E in effetti, può essere più semplice per il responsabile del trattamento applicare tali norme sulla protezione dei dati a tutti i tipi di informazioni presenti nei suoi archivi, anziché provare a distinguere fra informazioni che riguardano le persone fisiche o le persone giuridiche.
Gli interventi del Garante privacy sullo spam
Si aggiunga che l’Autorità Garante, nelle Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 ha deliberato che “ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l’art. 130, commi 1 e 2, del Codice, in base al quale l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente. Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali”.
Con provvedimento n.4 del 12 Gennaio 2017, inoltre, il Garante è intervenuto in materia di trattamenti effettuati per finalità di marketing, palesando l’illegittimità del trattamento dei dati raccolti da una società di fornitura di servizi informatici mediante il modello predisposto sul proprio sito. Infatti, i dati venivano trattati senza richiedere e ottenere dai clienti-persona giuridica il preventivo e specifico consenso all’invio di comunicazioni automatizzate a contenuto promozionale, secondo quanto prescritto dall’articolo 130, 1 c., del Codice. Con tale provvedimento il Garante è intervenuto, altresì, prescrivendo, quale misura necessaria, la riformulazione del modello di raccolta dei dati sul proprio sito web, affinché venisse acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali, nonché documentato per iscritto; vietando il trattamento per finalità promozionali mediante contatto telefonico dei dati, con riferimento alle numerazioni telefoniche, relativi a liberi professionisti e imprese individuali presenti sui siti web facenti capo ai medesimi.
Da ultimo, lo schema di Decreto Legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 679/2016 la cui approvazione è stata rinviata al 21 agosto 2018 non prevede modifiche rispetto al passato all’art. 130 che riprende pressoché integralmente il contenuto dell’articolo vigente, le sole modifiche concernono gli aspetti di coordinamento normativo con le norme del Regolamento.
In generale la mancata modifica di tale articolo è dovuta al fatto che tale disposizione è la trasposizione nel diritto interno della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 – attualmente vigente – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Lo schema di decreto legislativo si assesta sulle definizioni del Regolamento (UE) 679/2016 e, in materia di comunicazioni elettroniche espressamente fuori dall’ambito applicativo del regolamento, in attesa dell’imminente regolamento UE in materia e-privacy, riprende quelle presenti nel Codice previgente ma opportunamente adeguandole alle modifiche normative introdotte dal nuovo testo.
