Il Regolamento (UE) 2016/679 (GDPR) stabilisce norme in materia di trattamento dei dati personali che proteggono le persone fisiche (“interessato”): non vi sono dubbi interpretativi di sorta: le persone giuridiche non rientrano nella categoria di “interessato” e quindi nell’ambito applicativo del GDPR.
Purtroppo, però, non viviamo in un mondo in cui alla disciplina in materia di protezione dei dati è applicabile il pensiero dicotomico “è tutto bianco o nero”. Infatti, in tal caso non esisterebbero i problemi interpretativi che nella realtà affliggono le aziende.
Uno dei più comuni problemi insiste proprio sull’applicazione della disciplina privacy anche alle persone giuridiche. Infatti, diverse disposizioni e numerosi provvedimenti elaborati per arricchire il panorama normativo e interpretativo privacy forniscono indicazioni che sembrano scontrarsi con la regola generale del GDPR.
Indice degli argomenti
Il GDPR: persona fisica e interessato
Il Considerando 14 del GDPR chiarisce che la protezione prevista dal regolamento si applica alle persone fisiche “a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.
A completamento di ciò viene enfatizzato il fatto che il GDPR non disciplina il trattamento dei dati personali relativi a persone giuridiche, “in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”. Tale considerazione di fatto era valida anche durante il periodo di vigenza della direttiva 95/46/CE, abrogata con l’entrata in vigore del GDPR.
Il concetto di “persona fisica” coincide quindi con quello di “interessato”, che, al di là della definizione fornita dall’art. 4 del GDPR, viene più comunemente e operativamente associato ai termini “individuo” o, per estensione, anche a “cliente”, escludendo quindi dalla protezione offerta dal GDPR le persone fisiche impegnate, per esempio, in attività commerciali.
Nonostante ciò, negli anni si sono susseguite disposizioni ed interpretazioni sia a livello europeo che nazionale che hanno approfondito la questione cercando di rispondere alla domanda “esistono casi specifici per cui una persona giuridica può essere oggetto di tutela in materia di privacy?”.
La direttiva ePrivacy e il Codice privacy: abbonato, contraente e interessato
A livello europeo esiste un caso conclamato in cui le persone giuridiche vengono tutelate dalla disciplina privacy. Si tratta della direttiva ePrivacy (direttiva 2002/58/CE), che regola la protezione della vita privata nel settore delle comunicazioni elettroniche.
La direttiva indica in modo esplicito che le disposizioni in essa contenute prevedono “la tutela dei legittimi interessi degli abbonati, che sono persone giuridiche” (art. 1, par. 2). Si introduce quindi il termine “abbonato” che indica “la persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi” (art. 2, lett. k della direttiva 2002/21/CE). Non vi sono dubbi quindi sull’applicabilità della norma anche alle persone giuridiche.
La direttiva ePrivacy è stata recepita dal Titolo X, Capo I del D.lgs. 196/2003 (“Codice Privacy”) che in particolare introduce il concetto di “contraente” non dissimile dalla definizione di “abbonato” contenuto nella direttiva. La modifica è stata introdotta per effetto degli interventi normativi del d.l. 6 dicembre 2011, n. 201 (c.d. decreto “Salva Italia”), convertito con legge del 22 dicembre 2011, n. 214 e del D.lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE che a sua volta modificava la direttiva ePrivacy.
Cambia quindi il nome, ma la sostanza non varia, in quanto il Titolo X risulta comunque applicabile anche alle persone giuridiche.
Pertanto, è applicabile anche alle persone giuridiche quanto specificato per esempio nell’art. 122, recante la disciplina in materia di cookie, oppure nell’art. 130, che fornisce norme per l’invio di comunicazioni commerciali in modo automatico senza l’intervento di un operatore.
Un caso particolare (e singolare) riguarda l’art. 130, comma 4 che descrive l’eccezione del “soft spam”, secondo cui è possibile inviare senza consenso dell’interessato nel contesto della vendita di un prodotto o di un servizio e solo mediante e-mail delle comunicazioni commerciali relative a servizi analoghi a quelli già acquistati dall’interessato.
L’uso del termine “interessato” comporta che soltanto il comma 4 dell’art. 130 faccia riferimento all’interessato, così come inteso nel GDPR, e non al contraente. Non è chiaro se ciò sia dovuto a una mera svista nel recepimento della normativa europea oppure se si tratti di un’eccezione voluta dal legislatore italiano.
Errore o volontà, ciò che conta è che il Titolo X del Codice privacy è applicabile anche alle persone giuridiche, eccetto che per quanto previsto nel comma 4 dell’art. 130.
Persone giuridiche e disciplina privacy: esistono delle eccezioni?
Tanto premesso, è doveroso effettuare un focus sulle diverse forme societarie presenti nel nostro ordinamento giuridico.
Come sopra indicato il termine “contraente” si riferisce non soltanto alle persone fisiche ma anche alle persone giuridiche che sono intese come l’insieme organizzato di persone e di beni che l’ordinamento considera un soggetto di diritto.
La persona giuridica deve, per essere riconosciuta come tale, essere un elemento composto da una o più persone o da un capitale che hanno uno scopo e deve avere il riconoscimento formale dato da una normativa.
Per persone giuridiche si intendono, in Italia, le società a responsabilità limitata (“S.r.l.”), le società per azioni (“S.p.A.”), le società in accomandita per azioni (“S.a.p.a”), le società cooperative.
Considerando che il GDPR si applica esclusivamente ai dati personali relativi a persone fisiche, individuando pertanto le stesse come “interessati”, dobbiamo comunque evidenziare che ben diversa è la categoria di soggetti ricompresa a livello normativo italiano nel concetto di “persona fisica” rispetto al quadro europeo.
Infatti, tra le categorie di soggetti previsti dall’ordinamento italiano e rientranti nella definizione di “persona fisica”, rientrano anche alcune forme di attività commerciale e societaria. Tra queste, sono ricomprese le ditte individuali, il libero professionista munito di P.IVA, le società in accomandita semplice (“S.a.s.”) e le società in nome collettivo (“S.n.c.”).
Tale indirizzo è stato confermato in una serie di provvedimenti adottati dal Garante per la protezione dei dati personali, quali:
“Contrassegni per il transito e la sosta nelle zone a traffico limitato e nominativi degli interessati” del 21 aprile 2013 [doc. web n. 2439150];
“Trattamento di dati personali di imprese e professionisti per l’invio fax promozionali senza consenso” del 23 gennaio 2014 [doc. web n. 2927848];
“Ricevitorie e tabaccherie Sisal: garanzie per la raccolta e il trattamento dei dati” del 15 Dicembre 2011 [doc. web n. 1883880];
“Vietato l’invio di fax promozionali in assenza di una idonea informativa e di un consenso specifico” del 21 Marzo 2012 [doc. web n. 1895176].
Giova ricordare che nell’ambito applicativo della normativa privacy italiana rientra anche la mail aziendale del dipendente contenente il nome e cognome (es. nome.cognome@società.it). Al contrario un indirizzo di posta elettronica generico (es. info@società.it) non è oggetto delle tutele riservate ai dati personali, in quanto non riconducibile ad una persona fisica identificata o identificabile.
Tale assunto è in linea con le prescrizioni del Garante per la protezione dei dati personali e in particolare con le “Linee Guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 [doc. web n. 2542348].
In conclusione
Risulta fondamentale dirimere i dubbi relativi al campo di applicazione della normativa privacy e dei relativi adempimenti privacy richiesti in merito alla corretta individuazione del concetto di “interessato”. Infatti, tale concetto può assumere diverse vesti a seconda del punto di vista adottato: il quadro normativo europeo o quello nazionale.
Il GDPR ha inteso creare, con la sua portata di regolamento europeo, un quadro comune armonizzato dal quale ciascuno Stato membro non può prescindere, demandando però in concreto l’applicazione di specifiche disposizioni e prescrizioni di settore a livello nazionale.
Nondimeno, pesa anche la ancora vigente applicazione di una normativa europea (quale la Direttiva ePrivacy) che precede di quasi un ventennio il GDPR e sulla quale ampi tavoli di lavoro anche a livello europeo, discussioni, progetti di regolamenti e revisioni che si rincorrono da anni non hanno ancora portato alla luce un testo nuovo, più al passo con le nuove tecnologie e le nuove forme di marketing e comunicazione e in linea con il GDPR.
In tale contesto, i provvedimenti del Garante hanno inteso fornito alcune direzioni interpretative che possono essere d’aiuto alle aziende nella classificazione a fini privacy dei propri clienti “business”. Al contempo, però creano non pochi problemi alle imprese che devono destreggiarsi e bilanciarsi tra GDPR e Direttiva ePrivacy.