Il Regolamento (UE) 2016/679 (GDPR) stabilisce norme in materia di trattamento dei dati personali che proteggono le persone fisiche (“interessato”): non vi sono dubbi interpretativi di sorta: le persone giuridiche non rientrano nella categoria di “interessato” e quindi nell’ambito applicativo del GDPR.
Purtroppo, però, non viviamo in un mondo in cui alla disciplina in materia di protezione dei dati è applicabile il pensiero dicotomico “è tutto bianco o nero”. Infatti, in tal caso non esisterebbero i problemi interpretativi che nella realtà affliggono le aziende.
Uno dei più comuni problemi insiste proprio sull’applicazione della disciplina privacy anche ai trattamenti di dati delle persone giuridiche che, come visto, non rientrano nella definizione di interessato offerta dal Regolamento. Infatti, diverse disposizioni e numerosi provvedimenti elaborati per arricchire il panorama normativo e interpretativo privacy forniscono indicazioni che sembrano scontrarsi con la regola generale del GDPR.
Indice degli argomenti
Il GDPR: persona fisica e interessato
Il Considerando 14 del GDPR chiarisce che la protezione prevista dal regolamento si applica alle persone fisiche “a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.
A completamento di ciò viene enfatizzato il fatto che il GDPR non disciplina il trattamento dei dati personali relativi a persone giuridiche, “in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”. Tale considerazione di fatto era valida anche durante il periodo di vigenza della direttiva 95/46/CE, abrogata con l’entrata in vigore del GDPR.
Il concetto di “persona fisica” coincide quindi con quello di “interessato”, che, al di là della definizione fornita dall’art. 4 del GDPR, viene più comunemente e operativamente associato ai termini “individuo” o, per estensione, anche a “cliente”, “fornitore”.
Nonostante ciò, negli anni si sono susseguite disposizioni ed interpretazioni sia a livello europeo che nazionale che hanno approfondito la questione cercando di rispondere alla domanda “esistono casi specifici per cui una persona giuridica può essere oggetto di tutela in materia di privacy?”.
La direttiva ePrivacy e il Codice privacy: abbonato, contraente e interessato
A livello europeo esiste un caso conclamato in cui le persone giuridiche vengono tutelate dalla disciplina privacy. Si tratta della direttiva ePrivacy (direttiva 2002/58/CE), che regola la protezione della vita privata nel settore delle comunicazioni elettroniche.
La direttiva indica in modo esplicito che le disposizioni in essa contenute prevedono “la tutela dei legittimi interessi degli abbonati, che sono persone giuridiche” (art. 1, par. 2). Si introduce quindi il termine “abbonato” che indica “la persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi” (art. 2, lett. k della direttiva 2002/21/CE). Non vi sono dubbi quindi sull’applicabilità della norma anche alle persone giuridiche.
La direttiva ePrivacy è stata recepita dal Titolo X, Capo I del D.lgs. 196/2003 (“Codice Privacy”) che in particolare introduce il concetto di “contraente” non dissimile dalla definizione di “abbonato” contenuto nella direttiva. La modifica è stata introdotta per effetto degli interventi normativi del d.l. 6 dicembre 2011, n. 201 (c.d. decreto “Salva Italia”), convertito con legge del 22 dicembre 2011, n. 214 e del D.lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE che a sua volta modificava la direttiva ePrivacy.
Cambia quindi il nome, ma la sostanza non varia, in quanto il Titolo X risulta comunque applicabile anche alle persone giuridiche.
Pertanto, è applicabile anche alle persone giuridiche quanto specificato per esempio nell’art. 122, recante la disciplina in materia di cookie, oppure nell’art. 130, che fornisce norme per l’invio di comunicazioni commerciali in modo automatico senza l’intervento di un operatore.
Un caso particolare (e singolare) riguarda l’art. 130, comma 4 che descrive l’eccezione del “soft spam”, secondo cui è possibile inviare senza consenso dell’interessato nel contesto della vendita di un prodotto o di un servizio e solo mediante e-mail delle comunicazioni commerciali relative a servizi analoghi a quelli già acquistati dall’interessato.
L’uso del termine “interessato” comporta che soltanto il comma 4 dell’art. 130 faccia riferimento all’interessato, così come inteso nel GDPR, e non al contraente. Non è chiaro se ciò sia dovuto a una mera svista nel recepimento della normativa europea oppure se si tratti di un’eccezione voluta dal legislatore italiano.
Errore o volontà, ciò che conta è che il Titolo X del Codice privacy è applicabile anche alle persone giuridiche, eccetto che per quanto previsto nel comma 4 dell’art. 130.
Persone giuridiche e disciplina privacy: esistono delle eccezioni?
Tanto premesso, è doveroso effettuare un focus sulle diverse forme societarie presenti nel nostro ordinamento giuridico.
Come sopra indicato il termine “contraente” si riferisce non soltanto alle persone fisiche ma anche alle persone giuridiche che sono intese come l’insieme organizzato di persone e di beni che l’ordinamento considera un soggetto di diritto.
La persona giuridica deve, per essere riconosciuta come tale, essere un elemento composto da una o più persone o da un capitale che hanno uno scopo e deve avere il riconoscimento formale dato da una normativa.
Per persone giuridiche si intendono, in Italia, le società a responsabilità limitata (“S.r.l.”), le società per azioni (“S.p.A.”), le società in accomandita per azioni (“S.a.p.a”), le società cooperative.
Considerando che il GDPR si applica esclusivamente ai dati personali relativi a persone fisiche, individuando pertanto le stesse come “interessati”, dobbiamo comunque evidenziare che ben diversa è la categoria di soggetti ricompresa a livello normativo italiano nel concetto di “persona fisica” rispetto al quadro europeo.
Infatti, tra le categorie di soggetti previsti dall’ordinamento italiano e rientranti nella definizione di “persona fisica”, rientrano anche alcune forme di attività commerciale e societaria. Tra queste, sono ricomprese le ditte individuali, il libero professionista munito di P.IVA, le società in accomandita semplice (“S.a.s.”) e le società in nome collettivo (“S.n.c.”).
Tale indirizzo è stato confermato in una serie di provvedimenti adottati dal Garante per la protezione dei dati personali, quali:
“Contrassegni per il transito e la sosta nelle zone a traffico limitato e nominativi degli interessati” del 21 aprile 2013 [doc. web n. 2439150];
“Trattamento di dati personali di imprese e professionisti per l’invio fax promozionali senza consenso” del 23 gennaio 2014 [doc. web n. 2927848];
“Ricevitorie e tabaccherie Sisal: garanzie per la raccolta e il trattamento dei dati” del 15 Dicembre 2011 [doc. web n. 1883880];
“Vietato l’invio di fax promozionali in assenza di una idonea informativa e di un consenso specifico” del 21 Marzo 2012 [doc. web n. 1895176].
Giova ricordare che nell’ambito applicativo della normativa privacy italiana rientra anche la mail aziendale del dipendente contenente il nome e cognome (es. nome.cognome@società.it). In relazione al trattamento degli indirizzi di posta elettronica generici (es. info@società.it), il tema è più complesso e merita un approfondimento. Infatti, tali indirizzi generici rientrano nel campo di applicazione del Titolo X del Codice e, al tempo stesso, la possibilità di presentare reclami all’Autorità è prevista solo per gli interessati (art. 77 GDPR). Tale situazione ha generato delle incertezze applicative anche prima dell’entrata in vigore del Regolamento e ha portato l’Autorità ad adottare il “Provvedimento in ordine all´applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 – 20 settembre 2012”.
In tale provvedimento viene evidenziata questa incoerenza di sistema che, da un lato, prevede delle norme a tutela dei “contraenti” (incluse le persone giuridiche) e, da un altro lato, priva le medesime persone giuridiche degli strumenti di tutela previsti dal Codice Privacy riservando loro la sola possibilità di adire l’Autorità giudiziaria ordinaria per la tutela dei propri diritti. Nella motivazione dell’atto il Garante aveva sollecitato un intervento da parte del legislatore, ma l’incertezza applicativa è rimasta anche a seguito dell’entrata in vigore del GDPR.
Al fine di sanare questa incoerenza, già nel 2013 il Garante con il provvedimento “Linee Guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 [doc. web n. 2542348] ha precisato che nonostante la preclusione alle persone giuridiche di presentare reclami, ricorsi e segnalazioni, è rimessa all’Autorità la possibilità di prendere in considerazione eventuali segnalazioni, anche per esercitare d’ufficio i poteri che la legge gli riconosce.
L’Autorità ribadisce altresì che la non riconducibilità di un indirizzo email generico a un interessato è un elemento da verificare caso per caso. Infatti, le circostanze potrebbero essere più complesse (si pensi agli indirizzi generici legati a funzioni o ruoli monocratici che potrebbero a tutti gli effetti essere considerati dati identificabili di un interessato, essendo solo una la persona fisica che ricopre quel ruolo).
In conclusione
Risulta fondamentale dirimere i dubbi relativi al campo di applicazione della normativa privacy e dei relativi adempimenti privacy richiesti in merito alla corretta individuazione del concetto di “interessato”. Infatti, tale concetto può assumere diverse vesti a seconda del punto di vista adottato: il quadro normativo europeo o quello nazionale.
Il GDPR ha inteso creare, con la sua portata di regolamento europeo, un quadro comune armonizzato dal quale ciascuno Stato membro non può prescindere, demandando però in concreto l’applicazione di specifiche disposizioni e prescrizioni di settore a livello nazionale.
Nondimeno, pesa anche la ancora vigente applicazione di una normativa europea (quale la Direttiva ePrivacy) che precede di quasi un ventennio il GDPR e sulla quale ampi tavoli di lavoro anche a livello europeo, discussioni, progetti di regolamenti e revisioni che si rincorrono da anni non hanno ancora portato alla luce un testo nuovo, più al passo con le nuove tecnologie e le nuove forme di marketing e comunicazione e in linea con il GDPR.
In tale contesto, i provvedimenti del Garante hanno inteso fornito alcune direzioni interpretative che possono essere d’aiuto alle aziende nella classificazione a fini privacy dei propri clienti “business”. Al contempo, però creano non pochi problemi alle imprese che devono destreggiarsi e bilanciarsi tra GDPR e Direttiva ePrivacy.
