Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Le regole

GDPR, il vademecum per consorzi, società consortili e imprese consorziate

Una panoramica dei trattamenti di dati attuati dalle realtà consortili, per capire come applicare in modo adeguato le indicazioni del GDPR

15 Gen 2020
D
Silvia Dessì

Consulente del lavoro e Consulente gestione e protezione dati personali


Consorzi e società consortili sono uno strumento che, attraverso la disciplina e la gestione congiunta di determinati aspetti delle attività delle imprese consorziate, consente alle imprese di rispondere alle sfide che il mercato costantemente pone.

Il fatto di mettere in comune delle fasi delle singole realtà organizzative e di realizzare un coordinamento delle attività delle singole imprese comporta inevitabilmente una condivisione di informazioni, dati personali e trattamenti che obbliga le organizzazioni consortili e le imprese consorziate a fare i conti con gli adempimenti richiesti dal GDPR.

Si cercherà di fare una panoramica dei trattamenti svolti da consorzi e società consortili e di disciplinare gli scambi di dati personali con le consorziate, alla luce di quanto previsto dalla normativa vigente.

Scenario e quadro normativo

In un mercato sempre più competitivo e internazionalizzato le imprese di piccole e medie dimensioni decidono di aggregarsi al fine di svolgere, tramite una organizzazione comune, determinate fasi delle rispettive attività, nell’intento di incrementare la propria competitività e redditività.

Varie sono le forme giuridiche, contrattuali e societarie che possono essere utilizzate. Il consorzio, disciplinato dall’art. 2602 del Codice Civile, è un contratto associativo caratterizzato dalla natura imprenditoriale dei suoi contraenti avente ad oggetto la disciplina e/o la reciproca integrazione delle rispettive attività imprenditoriali o di specifiche fasi di esse.

È possibile fare una distinzione tra consorzi interni e consorzi con attività esterna. I primi svolgono essenzialmente un ruolo di verifica dell’adempimento degli obblighi assunti dai consorziati per il raggiungimento delle finalità consortili. I consorzi con attività esterna, invece, hanno potere decisionale ed esecutivo per il conseguimento dell’oggetto del consorzio e svolgono le attività specifiche previste nell’ambito del contratto consortile.

Le società consortili sono società aventi forma lucrativa ma costituite per perseguire gli scopi propri dei consorzi[1], il cui fine non è la realizzazione di un utile da distribuire ai consorziati, ma consentire a questi ultimi il conseguimento di un vantaggio che può essere in termini di risparmio nei costi di produzione, maggiori opportunità di lavoro, possibilità di partecipare a gare d’appalto che per motivi di requisiti di partecipazione potrebbero non essere accessibili alle singole imprese, e così via.

La forma societaria, pertanto, ha sempre per oggetto l’esercizio comune di una attività economica, e non può invece avere mera funzione di disciplina delle attività delle consorziate come invece accade nei consorzi interni.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza

Indipendentemente dalla forma prescelta per disciplinare o integrare le rispettive attività imprenditoriali, la creazione di una comune struttura di impresa che organizza la gestione delle attività dei consorziati comporta inevitabilmente il trattamento di dati personali e uno scambio di dati personali di cui i singoli consorziati sono Titolari del trattamento.

L’entità e la tipologia dei dati trattati varierà in funzione del settore di appartenenza delle imprese consorziate e delle regole che lo disciplinano, nonché dalle specifiche attività che saranno oggetto di gestione e organizzazione da parte del Consorzio. In ogni caso, i dati personali e i relativi trattamenti dovranno essere disciplinati secondo quanto previsto dal GDPR e dalla normativa vigente in materia.

I trattamenti svolti come Titolare

Consorzi e Società consortili svolgeranno innanzitutto una serie di trattamenti in qualità di Titolari degli stessi. La gestione del rapporto con i consorziati e l’esecuzione degli obblighi derivanti dal rapporto contrattuale instaurato comporteranno il trattamento dei dati personali delle imprese consorziate. Andranno poi ad aggiungersi i trattamenti dei dati di fornitori, clienti ed eventuali dipendenti e collaboratori dell’organizzazione consortile. Le organizzazioni consortili, in qualità di Titolari del trattamento, saranno pertanto tenute a:

  • redigere le informative per le varie categorie di interessati;
  • impartire le opportune istruzioni ai soggetti autorizzati al trattamento e ai Responsabili del trattamento;
  • valutare i rischi connessi ai trattamenti effettuati;
  • valutare la necessità di svolgere una valutazione di impatto;
  • valutare se sussistano i requisiti che rendono obbligatoria la nomina di un DPO;
  • porre in essere le misure di sicurezza adeguate per prevenire ed evitare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati;
  • rispondere alle richieste di esercizio dei propri diritti da parte degli interessati;
  • notificare al Garante e agli interessati eventuali data breach in tutti i casi in cui tale adempimento sia necessario.

Quando le imprese consorziate sono titolari

Nel caso di Consorzi con attività esterna e Società consortili i cui statuti prevedano la possibilità di stipulare contratti aventi ad oggetto l’esecuzione di lavori e prestazioni soggetti alla normativa in materia di sicurezza e la partecipazione a gare d’appalto, vi sarà un ulteriore trattamento di dati.

In questi casi, infatti, da un lato per poter partecipare alle gare sarà necessario produrre la documentazione necessaria per dimostrare di possedere i requisiti di richiesti (tra cui ad esempio attestati di partecipazione a specifici corsi, certificazioni, etc.) e inserire nelle offerte le dovute dichiarazioni, dall’altro, una volta aggiudicati i lavori saranno necessari tutta una serie di adempimenti.

Le norme di sicurezza e il Piano Operativo di Sicurezza (POS) impongono infatti tutta una serie di comunicazioni che consentano di identificare in maniera puntuale i lavoratori che avranno accesso ai cantieri o di verificarne l’avvenuta formazione e la regolarità degli aggiornamenti della stessa.

Al fine di tutelare il Consorzio e gli stessi soci da eventuali inadempimenti da parte dei consorziati e in virtù del principio di responsabilità vigente in caso di appalto, alle imprese consorziate è inoltre fatta richiesta di dimostrare di corrispondere con regolarità ai lavoratori alle proprie dipendenze, i trattamenti retributivi nonché i contributi previdenziali e i premi assicurativi dovuti in relazione al periodo di esecuzione dei lavori e degli appalti affidati al consorzio da committenti e stazioni appaltanti. In taluni casi gli inadempimenti o i ritardi negli adempimenti previsti in tali obblighi possono anche essere motivo di esclusione dei soci dall’organizzazione consortile.

La necessità di verificare tali aspetti si traduce fondamentalmente nell’invio, da parte delle imprese consorziate, dei cedolini paga mensilmente elaborati, con la conseguente trasmissione di dati personali dei propri dipendenti che, in taluni casi, potrebbero essere anche di tipo particolare.

Le disposizioni del GDPR

Appare evidente che tutte queste comunicazioni di dati vadano disciplinate secondo quanto previsto dal GDPR. Nello specifico appare particolarmente rilevante andare a definire se il trattamento svolto dall’organizzazione consortile avvenga per conto delle singole imprese consorziate, e dunque in qualità di Responsabile del trattamento o se, invece, vi sia una definizione congiunta delle finalità e dei mezzi di trattamento, con la conseguenza che si sarà di fronte a dei casi di contitolarità.

Alla luce di quanto sopra esposto, le imprese consorziate, titolari dei dati oggetto di comunicazione e trattamento, dovranno prendere in considerazione i seguenti aspetti:

  • assicurarsi di comunicare i dati strettamente necessari all’esecuzione dei lavori e quanto previsto dagli obblighi di legge e contrattuali;
  • assicurarsi che l’organizzazione consortile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a tutelare i diritti degli interessati;
  • disciplinare in maniera adeguata il trattamento svolto per proprio conto da parte del Consorzio, dando tutte le istruzioni necessarie ex art. 28;
  • valutare se vi siano trattamenti per cui le finalità e i mezzi di trattamento vengano definiti congiuntamente con il consorzio, dettagliando, in caso di contitolarità, le rispettive responsabilità all’interno di uno specifico accordo, così come richiesto dall’art. 26;
  • informare gli interessati coinvolti (in primis i dipendenti) che l’organizzazione consortile è un destinatario dei loro dati.

I consorzi e le società consortili, per contro, dovranno:

  • seguire le istruzioni impartite dalle società consorziate per il trattamento di dati svolto per loro conto in qualità di Responsabile;
  • garantire la sicurezza dei dati;
  • adottare tutte le misure di sicurezza adeguate al rischio, come previsto dall’art. 32 del GDPR;
  • garantire la riservatezza e vincolare dipendenti e collaboratori impartendo loro le istruzioni da seguire nello svolgimento delle attività di trattamento;
  • informare le imprese consorziate delle violazioni avvenute nei tempi utili per poter effettuare le notifiche cui egli è tenuto nei termini richiesti;
  • consentire e contribuire alle attività di revisione (comprese le ispezioni) realizzate dalle consorziate titolari dei trattamenti;
  • avvisare le consorziate titolari dei trattamenti se qualche istruzione ricevuta violi qualche norma in materia;
  • prestare assistenza alle imprese consorziate per l’evasione delle richieste degli interessati;
  • valutare la necessità di nominare un DPO.

Per le specifiche attività di trattamento per le quali organizzazione consortile e imprese consorziate definiscano in maniera congiunta le finalità e i mezzi di trattamento, progettando insieme il processo di trattamento e definendo delle regole comuni di gestione delle informazioni, i contitolari dovranno definire in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo a:

  • l’esercizio dei diritti dell’interessato;
  • le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro a cui sono soggetti;
  • gli obblighi di notifica alle autorità di controllo e agli interessati di eventuali violazioni della protezione dei dati personali per le rispettive o tutte le aree funzionali;
  • l’eventuale punto di contatto per gli interessati.

Conclusioni

I consorzi ex art. 2602 del Codice Civile e le società consortili ex art. 2615 ter del Codice Civile quando operano, lo fanno per conto e nell’interesse delle imprese socie e consorziate dalle quali riceve le risorse di produzione e alle quali trasferisce il rischio d’impresa. Laddove si aggiudichino contratti di esecuzione lavori e gare d’appalto il lavoro verrà ripartito tra le imprese socie e consorziate.

Lo svolgimento di attività di impresa in maniera congiunta tra più realtà organizzative, comporta necessariamente un flusso di dati e informazioni, nonché lo svolgimento di attività di trattamento per conto degli stessi consorziati o, talvolta, la definizione congiunta di finalità e mezzi di trattamento. Occorre dunque prestare particolare attenzione nel definire e disciplinare tali trattamenti rispettando quanto previsto dalla normativa vigente e tenendo conto degli specifici ruoli rivestiti nell’ambito delle attività di trattamento dei dati personali.

NOTE

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

[1] L’art. 2615-ter del Codice Civile prevede che le società di cui ai Capi III e seguenti del Tit. V (s.n.c., s.a.s. e tutte le società di capitali) possano assumere quale oggetto sociale gli scopi indicati nell’art. 2602.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3