La guida

GDPR e agenti di commercio, tutte le regole per una corretta data protection

Il ruolo assunto dagli agenti di commercio alla luce del GDPR, in relazione al trattamento dei dati che questi professionisti compiono, è spesso foriero di dubbi: ecco una guida per approfondire la situazione

14 Feb 2020
F
Lorenzo Frascotti

Consulente Privacy e DPO


L’applicazione corretta del GDPR nel caso degli agenti di commercio non è esente da dubbi, in attesa di una pronuncia del Garante della privacy che chiarisca la situazione. Vediamo in che modo l’agente di commercio tratta i dati personali e come comportarsi per essere compliant al regolamento europeo.

Il contesto: GDPR e agenti di commercio

Il dibattito relativo all’applicazione pratica del Regolamento europeo ruota, per lo più, intorno agli aspetti che un tempo erano peculiari del caso italiano. È evidente quanto lo stesso abbia subito una “deriva” che lo ha portato ad un impianto normativo più complesso del necessario. Di fronte ad un Regolamento scritto secondo logiche che solo in parte coincidono con la tradizione normativa (e giuridica) italiana, il consulente privacy incontra dubbi nell’applicazione pratica.

In un precedente articolo si era affrontato il tema della Somministrazione Lavoro, caso nel quale, in assenza di un definitivo pronunciamento del Parlamento ovvero del Garante, si è incerti circa la regolamentazione dei rapporti fra Agenzia per il lavoro e azienda utilizzatrice.

Riguardo alle reti commerciali e alla figura dell’agente di commercio siamo in presenza di un altro aspetto dubbio che è utile dibattere nell’attesa (si spera non eterna) di un definitivo pronunciamento dell’Autorità Garante ovvero del Parlamento. Innanzitutto è utile rilevare che nella maggior parte di casi la figura dell’agente di commercio o del procacciatore d’affari è completamente ignorata.

Alcuni giungono a ritenere che l’agente di commercio, difatti, non tratti dati personali. Questo, a parere dello scrivente, è una considerazione che si scontra con la realtà dei fatti.

Per affrontare seriamente la questione, è utile una precisazione: non esiste alcuna correlazione diretta fra la tipologia di contratto in essere e la relativa investitura lato privacy. In sostanza, il mero fatto di essere un P.IVA non necessariamente comporta la nomina a responsabile del trattamento, come, all’opposto, il mero fatto di essere un dipendente non comporta la nomina a incaricato del trattamento (leggi “persona autorizzata al trattamento sotto l’autorità diretta di un titolare o di un responsabile”).

Fa fede, all’opposto, non già la forma del rapporto in essere quanto la sostanza; un agente di commercio che opera esclusivamente presso la sede del titolare, che utilizza esclusivamente strumenti informatici del titolare e che ha poca se non pochissima libertà operativa potrebbe essere facilmente considerato un Incaricato piuttosto che un responsabile.

Sull’inquadramento della figura dell’agente di commercio si sono viste, sinora, una molteplicità di letture:

  • incaricato esterno del trattamento.
  • responsabile del trattamento.
  • autonomo titolare del trattamento.
  • contitolare del trattamento.

Si ritiene opportuno analizzare ciascuna delle quattro letture offrendo casi particolari in cui, effettivamente, sia corretto applicare una o più delle logiche sopra esposte.

Incaricato esterno del trattamento

Bisogna innanzitutto precisare che il termine “esterno” è già di per sé un controsenso, in quanto presuppone un grado di autonomia decisionale che, almeno in linea teorica, l’incaricato non dovrebbe possedere.

Il vecchio articolo 30 del D. Lgs. 196/2003 recitava “Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite” e l’Autorità Garante ha scritto, nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali che “Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

È doveroso tener conto di diversi Provvedimenti del Garante fra cui citiamo quello dell’8 giugno 1999 (ancora in vigore) dal titolo inequivocabile (“Trattamento dei dati personali – Incaricato del trattamento solo persona fisica”) nel quale l’Autorità Garante così si espresse al riguardo: “È necessario tener conto, però, che possono essere designati quali “incaricati del trattamento” solo ed esclusivamente le persone fisiche”.

Il problema sorge riguardo al considerare o meno “persone giuridiche” gli agenti di commercio. In alcuni casi vi è ambiguità, come per gli agenti in attività finanziaria che il Codice di Procedura Civile considera persone fisiche ma che fiscalmente sono trattati da persone giuridiche. È evidente che il discriminante “persona fisica-persona giudica” non sia utilizzabile quale riferimento, in quanto ambiguo.

Piuttosto, l’elemento da tenersi in considerazione è l’esistenza di un basso o quasi nullo grado di autonomia decisionale dell’agente. Un caso che lo scrivente può portare è il seguente. In una grande realtà olandese presente anche in Italia, gli agenti di commercio sono obbligati a operare esclusivamente presso i punti vendita. Hanno computer, cellulare e software gestionali forniti dall’azienda e utilizzano prese in carico di ordini e informative redatte dall’azienda stessa. Sono monomandatari e la proprietà del portafogli clienti è espressamente dell’azienda mandante.

Tuttavia, l’azienda ha nominato i suddetti agenti di commericio “responsabili del trattamento” in ragione del fatto che siano dei P.IVA. A parere dello scrivente, questo è un pacifico caso di “trattamento sotto l’autorità diretta di un titolare” (art. 4.10 Reg.UE 679/2016 ).

E questo perché gli agenti di commercio non sono nelle condizioni oggettive di terminare né le finalità né i mezzi del trattamento e, più per esteso, di assumersi qualsivoglia responsabilità in merito al trattamento effettuato (se non, ovviamente, nei confronti dell’azienda mandante o del diritto penale). In sostanza, la giusta nomina sarebbe stata “incaricato del trattamento” o “Persona autorizzata al trattamento”.

Responsabile del trattamento

Posto come discriminante l’effettiva libertà operativa soprattutto in riferimento ai mezzi del trattamento, forniamo un secondo esempio, anch’esso reale. Un’azienda che produce lubrificanti industriali ha tre agenti di commercio monomandatari che operano con propria auto aziendale, proprio computer, proprio cellulare, propri sistemi di gestione del database clienti, ma che prendono in carico gli ordini su moduli forniti dall’azienda mandante, forniscono l’informativa dell’azienda mandante e non hanno alcuna titolarità sul portafogli clienti, in quanto ad appannaggio esclusivo dell’azienda mandante.

Con questo esempio stiamo introducendo un secondo discriminante importante: la proprietà effettiva del portafogli clienti e gli eventuali patti di non concorrenza stabiliti. In questo caso specifico, è evidente quanto gli agenti di commercio abbiano libertà decisionale ed operativa riguardo ai mezzi del trattamento (computer, cellulare, database etc.) ma che non ne abbiano alcuna riguardo le finalità del trattamento.

È evidente, altresì, che l’azienda mandante sia percepita dal cliente quale “titolare del trattamento” (altro elemento da tenersi in conto come discriminante). L’esempio di cui sopra, dunque, coincide con la definizione fornita dal legislatore europeo: “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Pertanto, in questo caso la figura corretta sarà quella del responsabile del trattamento.

Autonomo titolare del trattamento

Anche in questo caso, riteniamo utile un esempio pratico. Un’agenzia di rappresentanza plurimandataria opera per diversi produttori di imballaggi industriali. Il portafogli è di proprietà, i mezzi del trattamento sono tutti definiti dall’agenzia, il modulo di presa in carico ordini è dell’agenzia e l’informativa resa ai clienti è sempre dell’Agenzia. Appare in tutta la sua evidenza quanto l’autonomia decisionale sia pressoché totale riguardo a finalità e mezzi del trattamento e quanto il cliente percepisca l’agenzia come “titolare del trattamento”.

In realtà, questo caso porta con sé due diverse soluzioni: autonomi titolari del trattamento oppure l’azienda mandante è semplice destinataria. Vediamo di andare nel merito.

Se gli accordi in essere (non necessariamente scritti) annoverano la possibilità da parte dell’azienda mandante di ricontattare il cliente per (ad esempio) altre offerte commerciali, siamo in presenza di due autonomi titolari del trattamento. Questo perché entrambi definiscono diverse finalità e mezzi: l’agente opera per l’adempimento del contratto di vendita col cliente e di tutte le misure precontrattuali, l’azienda per altre finalità (fra cui quella di marketing diretto o di gestione del parco clienti acquisito). Va da sé che in questo caso l’agenzia è tenuta a fornire al cliente, oltre alla propria, anche l’informativa e (se del caso) la richiesta di consenso dell’azienda mandante che risulterà al contempo destinataria per quanto concerne la transazione presente e titolare per quanto riguarda i trattamenti futuri.

Se all’opposto (come nella stragrande maggioranza dei casi) all’azienda è impedito di ricontattare il cliente una volta conclusa la transazione, siamo in presenza di un rapporto titolare-destinatario per cui non è necessario alcun adempimento se non l’obbligo per l’agenzia di segnalare l’azienda mandante nel novero dei destinatari dell’informativa resa al cliente.

Contitolari del trattamento

L’art. 26 del Reg. UE 679/2016 è costantemente nominato invano. Sembra che, di fronte a un dubbio interpretativo, basti dire “contitolare” per risolvere il problema. L’articolo citato recita: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. Nel caso dell’agente di commercio è difficile se non impossibile ravvisare forme di contitolarità. Un esempio ipotetico potrebbe essere il seguente.

Un agente di commercio conclude un accordo con la propria azienda mandante avente i seguenti punti: acquisteranno insieme uno stabile, lo adibiranno ad agenzia di rappresentanza e riceveranno lì i clienti. Sceglieranno insieme il sistema informatico, i software gestionali, i moduli prestampati, comparteciperanno agli stipendi dei dipendenti, faranno acquisizione di clienti insieme eccetera.

Il tutto per vendere insieme un nuovo prodotto sviluppato insieme, prodotto insieme, venduto insieme. La domanda sorge spontanea: perché azienda mandante e agente di commercio non costituiscono una società? È evidente che la tipologia di rapporto fra agente di commercio e azienda mandante escluda in partenza l’esistenza di forme di contitolarità, se non in casi limite come quello citato.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2