Si è ormai consolidato anche nel nostro ordinamento il principio che esclude le persone giuridiche dal novero dei soggetti cui è garantita la tutela dei dati personali. La prima applicazione in Italia della Direttiva 95/46/CE estendeva il concetto di interessato anche alle persone giuridiche, che in tal modo erano destinatarie di tutte le norme a protezione dei dati personali e godevano delle medesime tutele delle persone fisiche: ad esempio il diritto di ricevere un’informativa, la necessità di acquisire un consenso (salva l’applicabilità di una delle eccezioni previste dall’allora vigente art. 24 del Codice Privacy), la possibilità di esercitare il set di diritti riconosciuti agli interessati.
Infatti, secondo l’originaria formulazione contenuta nel Codice Privacy, l’interessato era definito come “la persona fisica, la persona giuridica, l’ente o l’associazione, cui si riferiscono i dati personali”.
Tale quadro si è radicalmente modificato nel 2011 in occasione dell’aggiornamento del Codice Privacy[1], che ha limitato la definizione di interessato alle sole persone fisiche. In questo modo, anche la legislazione italiana si è allineata alla maggior parte delle normative in materia di protezione dei dati personali degli altri Stati europei[2] anticipando, tra l’altro, quanto sarebbe poi stato confermato con il GDPR.
Indice degli argomenti
La definizione di “interessato” secondo il GDPR
L’entrata in vigore del GDPR, infatti, e l’adeguamento del Codice Privacy che ne è seguito, ha comportato anche una rimodulazione delle definizioni, ivi inclusa quella di interessato. Quest’ultima, ora contenuta nel solo GDPR, passa adesso per quella di dato personale definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). La rinnovata definizione di interessato non ha, tuttavia, significato che le persone giuridiche siano ad oggi private di qualsivoglia previsione normativa a loro tutela.
Infatti, anche a seguito del d.l. 201/2011 nonché del d.lgs. 101/2018 di adeguamento al GDPR, il Titolo X del Codice Privacy[3] che disciplina le “Comunicazioni elettroniche”, continua a contemplare la definizione di “contraente” all’art. 121, comma 1-bis, lett. f). Con tale termine si intende “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”.
In questo modo, le persone giuridiche – sottratte alle garanzie e tutele offerte alle persone fisiche dal GDPR – risultano ancora destinatarie di alcune salvaguardie.
La corretta individuazione dei dati personali: regole e norme per il pieno rispetto del GDPR
L’intervento del Garante privacy
Il Garante aveva analizzato tale particolarità in un Provvedimento del 2012[4], evidenziando già in quella sede alcune contraddizioni e difficoltà di ordine pratico che la nuova impostazione aveva introdotto.
In particolare, l’Autorità riconosceva che a far data dall’entrata in vigore del d.l. 201[5], le persone giuridiche (rectius: le persone giuridiche, gli enti e le Associazioni) non erano più legittimate a proporre segnalazioni, reclami e ricorsi dinanzi alla stessa e trovava “singolare che l’ordinamento attribuisca, da un lato, ai soggetti così identificati la dovuta tutela di cui alle disposizioni del titolo X, capo 1, del Codice; dall’altro, neghi loro la possibilità di far ricorso agli strumenti (segnalazioni, reclami e ricorsi) mediante i quali far valere i propri diritti dinanzi all’Autorità dovendo avvalersi, se del caso, degli ordinari strumenti di tutela apprestati dall´ordinamento, ivi compreso – qualora ne ricorrano i presupposti – il ricorso all´autorità giudiziaria”.
Nonostante, dunque, un contesto alquanto limitato e non senza alcune contraddizioni, le persone giuridiche, quando rivestono il ruolo di “contraente”, risultano ancora soggette a talune tutele, la più significativa delle quali è quella relativa alla necessità di ottenere il loro consenso per poter essere destinatarie di comunicazioni commerciali.
Il consenso per le attività di marketing
Come anticipato, uno degli ambiti più rilevanti entro cui le persone giuridiche godono ancora di una tutela privacy, è quello relativo all’obbligo del titolare del trattamento di richiederne il consenso per attività di marketing con strumenti automatizzati. Il principio è noto ed è disciplinato dai commi 1 e 2 dell’art. 130 del Codice Privacy, rimasto invariato anche nella versione aggiornata dal D.lgs. 101/2018.
Il comma 1, infatti, fissa la regola generale secondo cui: “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente ; il comma 2 estende tale obbligo anche ad altri strumenti di comunicazione elettronica quali posta elettronica, telefax, SMS, MMS ecc.., con una formula aperta[6] così da includervi eventuali ulteriori metodologie di comunicazione sconosciute al Legislatore al momento della redazione della norma in questione.
Il consenso previsto da questa norma si colloca come lex specialis[7] rispetto a quanto previsto dal GDPR, trovando pertanto applicazione a prescindere dalla lettera di quest’ultimo. In altre parole: anche se il GDPR in astratto prevede varie basi giuridiche sulle quali l’attività di marketing si potrebbe poggiare (si richiama in particolare quanto illustrato dal Considerando 47 al GDPR ed in particolare lo specifico riferimento al legittimo interesse), se tale attività viene svolta mediante comunicazioni elettroniche l’unica via lecita è il ricorso al consenso preventivo.
Nel caso delle persone giuridiche, peraltro, la tematica è ancora più netta, dal momento che non trovando applicazione nei loro confronti il GDPR, non sarebbero neanche ipotizzabili basi giuridiche diverse.
Ebbene, fissato in questo modo il principio normativo, l’applicazione dello stesso sul piano pratico appare tutt’altro che banale, a partire dall’individuazione delle modalità operative con cui effettuare la raccolta del consenso stesso.
Ad esempio, considerando che persone fisiche e persone giuridiche non godono delle medesime tutele (né della medesima disciplina) a rigore dovrebbero essere previste distinte formule di consenso e una conseguente gestione separata all’interno del CRM. L’informativa, poi, che spesso arricchisce e contestualizza la formula di consenso, dovrebbe essere prevista solo per le persone fisiche, mentre per quelle giuridiche andrebbe esplicitato il solo box di raccolta del consenso. Ma non basta. Ulteriore problema è quello che riguarda proprio l’acquisizione del valido consenso qui in discussione.
In altre parole: chi è legittimato a rendere un consenso giuridicamente vincolante verso i terzi nonché rappresentativo della volontà di una persona giuridica? La risposta più semplice è sicuramente il legale rappresentante, e questo trova di certo applicazione nel caso di enti di piccole dimensioni. Ma cosa accade in presenza di articolazioni organizzative più complesse? Si pensi a società che prevedono deleghe di poteri a diversi amministratori o procuratori sulla base di soglie di spesa oppure per materia o competenza.
In questo caso, la legittimazione a rendere un consenso “valido” per la società su cosa si baserà? Sulla procura ricevuta per materia o spesa, oppure si tratta di un potere per così dire trasversale che deve essere conferito con delega ad hoc? Quale che sia la risposta a queste domande, restano ferme, per il titolare che voglia cimentarsi nel fare marketing verso persone giuridiche, le problematiche di carattere pratico che non trovano pari nel caso di persone fisiche.
Tale situazione è poco comprensibile se si considera che in tema di marketing gli interessati (e quindi le persone fisiche) sono senza dubbio portatori di un “diritto alla tranquillità individuale”[8] che difficilmente può ritenersi sussistente anche in capo alle persone giuridiche. Anzi, in taluni casi le comunicazioni tra società che potrebbero avere un contenuto di marketing sono difficilmente distinguibili da quel necessario scambio di informazioni tra due enti nell’ambito dei rapporti commerciali che li riguardino (la proposizione di uno sconto, la comunicazione di un nuovo listino prezzi, etc..).
Il paradosso del “soft spam”
Le difficoltà sopra descritte nella gestione dei consensi, giungono al paradosso con la previsione del comma 4 dell’art. 130, del Codice Privacy, la norma che ha introdotto, come noto, nel nostro ordinamento il c.d, “soft spam”, inteso come la possibilità del titolare del trattamento di svolgere attività di marketing – a determinate condizioni[9] – senza l’obbligo di dover ottenere un preventivo consenso.
Ebbene il testo del comma 4 si rivolge solo agli interessati (dunque solo alle persone fisiche), i quali restano i soli destinatari dei suoi effetti, con la conseguenza che una disciplina di così maggior favore anche in termini di business per il titolare (che è dispensato dal raccogliere un consenso) trova applicazione solo nei confronti delle persone fisiche. In questo modo, pertanto, la legittima aspettativa a ricevere comunicazioni commerciali che viene a crearsi nell’ambito di rapporti commerciali (nel contesto di una vendita) viene valorizzato solo in un “mercato” B2C, lasciando le società a doversi basare esclusivamente sul consenso (peraltro ottenuto con le difficoltà di cui si è detto).
I consigli
Da un punto di vista formale, una prima via, la più semplice, è quella di non distinguere tra persone giuridiche e persone fisiche utilizzando per entrambe le stesse procedure (stessa informativa, stessa formula di consenso). In tal modo si andrebbe oltre il dettato della norma, ma si otterrebbe una omogeneità di gestione dei processi. Nel caso con l’accortezza di tenere separati i data base (anche perché quello relativo alle persone giuridiche non dovrà essere coinvolto nella gestione dei diritti riconosciuti agli interessati).
Tuttavia, quanto sopra offre una risposta relativa all’aspetto formale della vicenda; non risolve, invece, i limiti di manovra rispetto alle comunicazioni commerciali di cui si è dato conto, in particolare con riferimento alle comunicazioni che potrebbero basarsi sulle relazioni commerciali esistenti e che se si trattasse di persone fisiche potrebbe trovare presupposto nel quarto comma dell’art. 130 del Codice Privacy.
A tal fine, potrebbe forse costituire un tema di riflessione proprio la posizione assunta dal Garante in tema di legittimo interesse, ormai consolidata nel considerarne elemento fondamentale l’esistenza di una relazione contrattuale da cui derivi una legittima aspettativa in capo all’interessato di essere contatto dal titolare[10].
Regolamento ePrivacy secondo l’EDPB: dalla riservatezza ai cookie, ecco i problemi
Le proposte della eRegulation
Si potrebbe quindi richiamare l’esistenza di una relazione di questo tipo tra le società per sottrarre le relative comunicazioni all’obbligo del consenso. In questo senso, risulta di interesse la rotta tracciata dalla bozza di Regolamento (UE) ePrivacy o anche eRegulation (chiamata ad aggiornare la Direttiva 2002/58 armonizzandone la disciplina tra tutti gli Stati membri della UE) quanto meno nell’ultima versione della proposta datata 10 febbraio 2021. La bozza all’art. 16, che contiene la disciplina delle comunicazione indesiderate oggi prevista nell’art. 130 del Codice Privacy, recita al paragrafo 1: “Natural or legal persons shall be prohibilted from using electronic communications services for the purposes of sending direct marketing communication to end-users who are natural persons unless they have given their prior consent” Il successivo paragrafo 5, tuttavia, aggiunge: “Member State shall ensure, in the framework of Union law and applicable national law, that the legitimate interest od end-users that are legal persons with regard to direct marketing communications sent by means set forth under paragraph 1 are sufficiently protected”.
Da un lato, pertanto, la eRegulation sottrae le persone giuridiche dall’obbligo di rilasciare il consenso per poter essere destinatari di comunicazioni di marketing con strumenti automatizzati, ma dall’altro lascia aperta una porta per una diversa tutela, forse più consona alla natura delle relazioni (e degli interessi in gioco) che normalmente esistono tra società. Non a caso, la richiamata bozza menziona il termine “legitimate interest” in relazione alle persone giuridiche, in contrappunto con il concetto e costante refrain del GDPR della tutela dei “diritti e le libertà delle persone fisiche”. Potrebbe, quindi, essere proprio la nuova eRegulation a fornire lo strumento per poter gestire i rapporti con le persone giuridiche in modo più “snello”.
NOTE
Per effetto del D.L. n. 201 del 6 dicembre 2011, convertito con legge n. 214 del 22 dicembre 2011 ↑
Cfr il Provvedimento 20 settembre 2012 [2094932], in ordine all’applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 , nel quale il Garante precisava, infatti, che “Il legislatore italiano del 1996, con scelta confermata anche nel 2003 anche se controcorrente rispetto a quelle effettuate dalla maggior parte degli Stati membri, aveva optato – com’è noto – per la prima soluzione ed incrementato , così sia gli adempimenti che gravano sui titolari del trattamento sia le garanzie e le tutele a favore delle persone giuridiche nella specifica di interessati.” ↑
Attraverso le disposizioni contenute nel Titolo X del Codice Privacy, è stata data attuazione alla Direttiva 2002/58/CE, nota anche come e-Directive. Tale direttiva è tutt’ora in vigore, in attesa dell’entrata in vigore del Regolamento che la dovrebbe sostituire. ↑
“Provvedimento [doc. web. N. 2094932] sopra citato. ↑
6 dicembre 2011 ↑
L’art. 130, comma 2 del Codice Privacy prevede che “La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica , telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo” ↑
Tale concetto è stato espresso prima dall’art. 95 dello stesso GDRP secondo cui il Regolamento “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva”; è stato poi confermato ed esplicato anche dal Comitato europeo per la protezione dei dati (c.d. European Data Protection Board – “EDPB”) nel “Parere 5/2019 sull’interazione tra la direttiva e-privacy e il regolamento generale sulla protezione dei dati, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati” dove si legge “Conformemente al principio lex specialis derogat legi generali, le disposizioni speciali prevalgono sulle norme generali nelle situazioni che mirano specificamente a disciplinare. Nelle situazioni in cui la direttiva e-privacy “precisa” (ossia rende più specifiche) le norme del regolamento, le disposizioni (specifiche) della stessa direttiva, in quanto “lex specialis”, prevalgono sulle disposizioni (più generali) del Regolamento.” ↑
“Ordinanza ingiunzione nei confronti di Fastweb S.p.A. del 25 marzo 2021” [doc. web n. 9570997] ↑
L’articolo 130, iv comma, del Codice Privacy statuisce che: “Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in
occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”. ↑
Si veda, da ultimo, ancora Ordinanza ingiunzione nei confronti di Fastweb S.p.A. del 25 marzo 2021 [doc. web n. 9570997] ↑