GDPR Compliance: informativa e consenso al trattamento-confine tra persone fisiche e società

I dati di imprese individuali, liberi professionisti e società di persone sono “dati personali” soggetti a trattamento?

Per rispondere alla richiesta di alcuni imprenditori, vorrei tentare una particolare lettura in chiave GDPR (alla luce dell’ attuale disciplina nazionale) circa il dubbio che clienti e fornitori, organizzati in forma di impresa individuale, società di persone e liberi professionisti, si debbano considerare “soggetti interessati” e pertanto destinatari degli adempimenti prescritti per il trattamento dati. In Italia, per trattare i dati di una società in generale (di una persona giuridica) non occorre preoccuparsi dell’informativa o del consenso. Le società, inoltre, non possono esercitare i diritti previsti dal codice della privacy o ricorrere al garante in caso di violazione delle loro informazioni personali.

La legge di stabilità nel 2011, in un’ottica di semplificazione, intervenendo sull’articolo 5 del codice della privacy (dlgs 196/2003), ha escluso l’applicazione delle disposizioni relative al trattamento dei dati personali qualora riferiti a soggetti nell’esercizio dell’attività di impresa. Cito testualmente:

“In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”

Unica eccezione il trattamento dati connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni: in tali ambiti specifici le tutele sono accordate anche alle imprese; quindi niente “comunicazioni” indesiderate. Per il resto la privacy è praticamente senza applicazione.

La difformità di trattamento tra persone fisiche e società, tuttavia, opera solo nei limiti in cui il trattamento dati si renda necessario per lo svolgimento dell’attività di impresa; ossia la privacy va garantita solo alle persone fisiche che non sono imprenditori.

Come dire: il concetto di impresa sta fuori dal campo di applicazione della privacy, ivi compresa anche l’impresa esercitata in forma individuale.

Sono salvi i liberi professionisti, che a rigore non sono imprenditori.

Tale perequazione, essendo inserita in un contesto normativo palesemente complesso quanto disomogeneo, risulta piuttosto “pericolosa” oltre che ambigua: sono note le difficoltà applicative che ne sono derivate sia per Titolari del Trattamento che per le Autorità di Controllo (chiamate a dirimere controversie varie), tali da vanificare le stesse finalità di semplificazione originariamente perseguite.

Il Regolamento Generale sulla Protezione dei Dati (UE/2016/679), che si applicherà a decorrere dal 25 maggio 2018 e sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri, interviene in tale caotico contesto di norme statali senza mutarne, contrariamente alle aspettative, ne’ la sostanza, ne’ la forma.

Preciso: nel nostro Paese è attualmente vigente il Codice della Privacy (D.lgs 196/2003).

Nonostante il Regolamento prevalga sulla legge nazionale interna, tuttavia, la sola esistenza ed applicazione del GDPR non comporta, provenendo questo da un ordinamento (quello europeo) diverso da quello nazionale,l’abrogazione automatica della legge statale regolante la medesima materia.

Sebbene formalmente ancora vigenti, tutte quelle disposizioni della legge interna in contrasto con le nuove previsioni normative europee dovranno essere in ogni caso disapplicate, in favore della nuova disciplina.

Per il Titolare del Trattamento, il rischio di operare in modo difforme rispetto alle regole applicabili (anche inconsapevolmente) viene ulteriormente aggravato e può concretizzarsi con conseguente possibilità di incorrere in sanzioni di notevole entità oltre che in possibili responsabilità penali.

Nel Regolamento Europeo, dalla definizione di “dato personale” e di “interessato” rimane escluso qualsiasi riferimento a persone giuridiche, enti od associazioni.

Il GDPR, infatti, definisce dato personale “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

È interessato ex art. 4 Codice della Privacy “la persona fisica cui si riferiscono i dati personali”.

La tendenza “consumer”, ben percepibile nell’impianto normativo italiano riguardante la tutela della Privacy propende, come detto, per l’esclusione del trattamento dei dati delle persone fisiche qualora lo scambio di dati intervenga “nell’esercizio delle attività di impresa”.

Il Regolamento Europeo non ha invertito tale orientamento: l’esercizio dell’attività di impresa continuerà (salvo successivi interventi normativi) ad essere l’unico discrimine per considerare o meno un imprenditore tra i soggetti da “trattare”.

Nel nostro codice civile non viene data una definizione diretta e precisa d’impresa e ciò non agevola.

Un modo intelligente di affrontare l’incertezza interpretativa che ne scaturisce potrebbe essere quello di ricorrere all’art. 2555 c.c. il quale fornisce la nozione di “azienda”, unitamente agli art.li 2082 e 2083 c.c. che definiscono rispettivamente l’imprenditore ed il piccolo imprenditore.

Tradotto:

Il Titolare del Trattamento dovrebbe prima capire chi è imprenditore, poi verificare quale attività sia l’attività svolta, se lo scambio di dati avviene per finalità amministrativo-contabili (nel qual caso le società restano escluse dall’applicazione del trattamento) e quindi decidere.

Operazione quanto meno ardua, anche per giuristi esperti!

Se l’inclusione o meno di società di capitali, enti ed associazioni tra i soggetti interessati sembra piuttosto gestibile (sebbene faticosa), la questione si complica non poco quando l’incertezza verte su ditte individuali ed imprese individuali o società di persone. Queste, in linea teorica, sarebbero escluse dalle tutele apprestate dal GDPR e dunque dal trattamento dei dati personali qualora considerate, come le altre società, nell’esercizio della loro attività d’impresa. Viceversa andrebbero incluse se ritenuto prevalente l’aspetto puramente “personale” connaturato alle stesse.

In tale specifico ambito, è molto spesso inscindibile la compenetrazione tra la persona fisica e la veste di imprenditore quale presupposto per ritenere i dati di ditte e imprese individuali come informazioni riferite a persone fisiche comunque soggette al trattamento legale dei relativi dati.

Allo stato attuale non esiste una soluzione certa; come non esiste un’impresa senza imprenditore ed egli può essere sia una persona fisica che un ente collettivo come nel caso delle società.

SULLA DITTA INDIVIDUALE

La ditta individuale può non svolgere attività d’impresa e quindi non essere una impresa individuale; l’impresa individuale è invece sempre una ditta individuale.

A maggior ragione, a mio avviso “le informazioni” della ditta individuale dovrebbero essere soggette a trattamento dei dati personali.

SULL’ IMPRESA INDIVIDUALE ed in via analogica sulle SOCIETA’ DI PERSONE

Non tutte le imprese individuali si contraddistinguono dal punto di vista organizzativo e decisionale per la coincidenza fra soggetto giuridico e titolare-persona fisica.

Alcune imprese individuali ricorrono ad un’organizzazione interna complessa, che prescinde dal sistematico intervento del titolare dell’impresa per la soluzione di determinate problematiche e può determinare la responsabilità di soggetti diversi dall’imprenditore individuale, ma che operano nell’interesse della stessa impresa individuale.

In tali casi?

Una recente sentenza della Cassazione, ha affrontato il diverso tema -dell’applicabilità del d.lgs. 231/2001 (sulla responsabilità amministrativa degli enti discendente da reato) – alle imprese individuali, ribaltando una consolidata Giurisprudenza sulla inapplicabilità che vigeva da una assai nota sentenza del 2004 emanata dalla stessa Suprema Corte.

Nella sentenza 15657 del 20 aprile 2011 La Suprema Corte (l’orientamento prevalente prevedeva che solo sugli enti dotati di personalità giuridica, strutturati in forma societaria o pluripersonale, potevano farsi gravare gli obblighi ex d.lgs 231), pur premettendo che«l’attività riconducibile all’impresa (al pari di quella riconducibile alla ditta individuale propriamente detta) è attività che fa capo ad una persona sica e non ad una persona giuridica intesa quale società di persone (o di capitali)», ha ritenuto però innegabile che «l’impresa individuale (sostanzialmente divergente, anche da un punto di vista semantico, dalla cd. “ditta individuale”), ben può assimilarsi ad una persona giuridica nella quale viene a confondersi la persona dell’imprenditore quale soggetto fisico che esercita una determinata attività: il che porta alla conclusione che, da un punto di vista prettamente tecnico, per impresa deve intendersi l’attività svolta dall’imprenditore persona fisica per la cui definizione deve farsi rinvio agli artt. 2082 e 2083 c.c.»

Invero, secondo la Cassazione, i soggetti destinatari delle prescrizioni normative non vanno soltanto individuati attraverso la loro espressa previsione o la loro altrettanto espressa esclusione. Essi possono identificarsi sulla base dell’appartenenza alla generale categoria degli enti forniti o meno di personalità giuridica, nonché alle società e associazioni anche prive di personalità giuridica.

In contesto privacy un tale orientamento si tradurrebbe nell’esclusione dal trattamento dati di tutte le società ad eccezione dei liberi professionisti non imprenditori e delle persone fisiche. Non sarebbero oggetto di trattamento neppure i dati di piccoli imprenditori, di piccoli commercianti, degli artigiani.

Non mi convince.

Conclusioni

Auspicando quanto prima utili interventi chiarificatori da parte del Parlamento e del Governo o del Garante, è ovvio che ogni Titolare del Trattamento dovrà, sulla base di autonome valutazioni, optare per soluzioni più o meno caute includendo o meno i piccoli imprenditori, le società di persone e le ditte individuali tra i soggetti destinatari del “trattamento dei dati personali”.

Ogni decisione comporterà una certa misura di rischio e questo, al momento, appare inevitabile.

In mancanza di norme chiare, non è ipotizzabile una soluzione perfetta ma può esistere una soluzione intelligente frutto di risorse intelligenti: il ruolo di consulenti esperti a supporto del Titolare del Trattamento sarà fondamentale, quanto prioritaria sarà la loro abilità nel “rendere pareri” lungimiranti e competenti, idonei ad affrontare al meglio le esigenze e le incertezze del titolare imprenditore. La diffusione delle best practices darà il suo importante contributo.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *