Che i liberi professionisti e le ditte individuali debbano adeguarsi al GDPR è scontato. Un po’ meno scontato è invece il perché le ditte individuali e i liberi professionisti debbano ricoprire anche il ruolo di “interessati”, dovendo quindi ricevere l’informativa e prestare il consenso (se necessario) per il trattamento dei loro dati da parte di altri titolari e godendo altresì delle tutele offerte dal nostro codice della privacy e dal GDPR.
Dati personali, la normativa di riferimento
Come noto, il d.lgs. N. 196/03, al pari del regolamento Ue 16/679 (e ancora prima la direttiva 95/46/CE) tutela le persone fisiche con riguardo al trattamento ed alla libera circolazione dei dati personali.
Facendo un brevissimo excursus, inizialmente, la normativa europea di riferimento era la direttiva 95/46/CE che stabiliva (all’art. 2 comma 1 lett.a)) che per dato personale dovesse intendersi “qualsiasi informazione concernente una persona fisica identificata o identificabile” lasciando agli Stati membri il compito di emanare normative interne di adeguamento.
Successivamente nacque il Codice della privacy italiano.
Rispetto alla direttiva CE, il codice italiano estendeva la definizione di dato personale. Infatti, Inizialmente l’art. 4 par.1 lett. I) del d.lgs. 196/03 nel definire le categorie di soggetti “interessati”, includeva, accanto alle persone fisiche anche le persone giuridiche, gli enti e le associazioni. Un po’ come a dire che la normativa intendeva tutelare tutti i soggetti che operavano nel mondo del diritto nessuno escluso, ampliando quindi, come detto, la portata della normativa europea.
Tra l’altro, a ben vedere, anche a livello europeo il WP29 nel parere n.4/07 sul concetto di dati personali, non escludeva categoricamente le persone giuridiche dalla protezione offerta dalla direttiva ed anzi offriva una lettura della normativa molto garantista, affermando che: “Le informazioni sulle persone giuridiche possono considerarsi concernenti persone fisiche in virtù della loro situazione specifica, conformemente ai criteri stabiliti nel presente documento. È quel che accade quando il nome di una persona giuridica deriva dal nome di una persona fisica, oppure nel caso dell’indirizzo e-mail di un’impresa di norma usato da un dato dipendente, o delle informazioni su una piccola impresa (giuridicamente un oggetto piuttosto che una persona giuridica) che possono descrivere il comportamento del suo titolare. In tutti questi casi, in cui i criteri di contenuto, finalità o risultato fan sì che le informazioni su una persona giuridica o su una impresa possano considerarsi come concernenti una persona fisica, è opportuno considerare tali informazioni come dati personali e si applicano le norme di protezione dei dati”.
L’impasse interpretativa continuò, poi, con d.l. 13 maggio 2011 n.70 nel quale si introduceva un comma 3 bis all’art.5 del Codice per chiarire che “il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’art. 34 comma 1 ter, non è soggetto all’applicazione del presente codice”.
Detto comma ebbe vita breve. Il comma venne infatti abrogato dall’art. 40 comma 2 del d.l. 201/11 che non si limitò a questo, abrogando anche ogni riferimento a “persona giuridica, ente o associazione, cui si riferiscono i dati personali”.
Il grande equivoco della “persona fisica”
E le ditte individuali? Senza dubbio godevano di tutela, tant’è che, circa un anno dopo fu discusso un disegno di legge sulle semplificazioni che espressamente proponeva l’esclusione dell’applicazione del codice della privacy a tutte le imprese individuali. Ma Antonello Soro, appena eletto presidente del Garante per la protezione dei dati personali, si oppose fermamente all’introduzione di tale comma ed anzi fece di più: minacciò che avrebbe sollevato la questione in sede comunitaria e riuscì ad ottenere il depennamento della norma.
Nonostante ciò e nonostante la chiarezza del Garante sul punto (“escludere dall’applicazione del Codice in materia di dati personali coloro che agiscono nell’esercizio dell’attività imprenditoriale, anche individuale, anziché semplificare la vita degli imprenditori li priva, in quanto persone fisiche, di ogni garanzia rispetto al trattamento dei loro dati, anche delicatissimi, e si pone in contrasto con la Direttiva europea”) il grande equivoco era dietro l’angolo e tutt’oggi insiste nelle interpretazioni degli esperti.
Anziché valorizzare il dato letterale e fare perno sul binomio “persona fisica” – “persona giuridica”, per spiegare normativamente che tutto ciò che non rientra tra le persone giuridiche è coperto da privacy (comprese quindi le ditte individuali ed i liberi professionisti), si è spesso associato il termine “persona fisica” a “privato” (inteso come contrario di “impresa” e non inteso come contrario di “PA”) escludendo quindi dalla tutela offerta dal codice tutte le persone fisiche che esercitano attività di impresa.
Ma che tra le persone fisiche rientrino anche le ditte individuali ed i liberi professionisti è certo. La giurisprudenza della Corte di Cassazione ha in più riprese affermato: “La ditta individuale, non ha soggettività giuridica diversa da quella del suo titolare, con il quale si identifica sotto l’aspetto sostanziale e processuale” (Cass. Civ. sez. III sent. N. 1652/05, Cass. Civ. sez. Lav. Sent. N. 3052/06).
Cosa dice il GDPR
Arrivando ai giorni nostri, a seguito dell’introduzione del regolamento UE 679/16, l’unica definizione di dato personale rimasta in vigore (le altre sono state superate o recentemente abrogate) è quella offerta proprio dal GDPR: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” (art. 4 n.1).
Ad oggi quindi, chi sostiene l’inapplicabilità del GDPR ai liberi professionisti e ditte individuali, parte da una lettura piuttosto superficiale del considerando n. 14 (che testualmente recita: “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”), dimostrando di continuare a confondere la persona fisica con il privato.
Quest’interpretazione non convince.
Il regolamento opera solo una distinzione tra persona fisica e persona giuridica ed una specificazione: persona fisica che tratta i dati personali per attività a carattere personale o per esigenze di tipo lavorativo (considerando 18), escludendo nel primo caso che il soggetto sia tenuto ad adempimenti in ottica GDPR. E’ evidente pertanto che laddove il legislatore ha ritenuto di restringere il campo di applicazione del regolamento, effettuando una specificazione ulteriore rispetto alla persona fisica l’ha fatto esplicitamente, secondo il noto brocardo latino “lex ubi voluit, dixit.”
Ebbene, di fronte ad opposte fazioni che con motivazioni più o meno convincenti tentano (ancora oggi) di affermare o negare l’applicazione del codice e del GDPR a ditte individuali e liberi professionisti l’ultimo definitivo indizio può venire direttamente dal provvedimento del garante per la protezione dei dati personali.
Nel provvedimento n.217/13 doc. web 2439150 si legge infatti che “l’apposizione sui contrassegni della ragione sociale dell’azienda individuale, essendo idonea a identificare direttamente l’interessato (art. 4, comma 1, lett. b), del Codice), configura un trattamento di dati personali riguardanti le persone fisiche.”
Il provvedimento riporta quindi le ditte individuali nel loro alveo naturale e cioè tra le persone fisiche meritevoli di tutela.
Ma a ben vedere vari sono i ricorsi presentati al Garante ed intentati da liberi professionisti e ditte individuali che sono stati decisi nel “merito”. Mai una volta il garante ha rigettato le domande proposte sul presupposto della non applicabilità a tali categorie di interessati della disciplina del codice, che quindi devono ritenersi definitivamente tutelabili e tutelati dalle disposizioni nazionali e comunitarie in tema di privacy. (ex multis: doc web. 1851415/2001 sul divieto di telefonate promozionali ai fini di marketing verso numeri tratti da albi professionali senza il consenso preventivo dell’interessato. Doc. web. 6417586 sul diritto all’oblio del libero professionista. Doc. web. 448727 sul ricorso promosso da un ex promotore finanziario nei confronti della consob)
E del resto si sa, tre indizi fanno una prova e in questo caso gli indizi sono molti di più.
