Immagine con due persone che firmano contratti

ADEGUARSI AL GDPR, COME COMPORTARSI SE IL DESTINATARIO È UNA PERSONA GIURIDICA

Attraverso questo articolo potremo capire come adeguarsi al GDPR quando il destinatario del trattamento dei dati personali è una persona giuridica. In ottica compliance GDPR verranno analizzati tutti gli accorgimenti e gli errori da evitare, nonché i principi cardine da rispettare al fine di garantire la compliance e adeguarsi al GDPR.

1. ADEGUARSI AL GDPR, COSA CI DICE IL REGOLAMENTO SULLE PERSONE GIURIDICHE

Il GDPR, attraverso i propri articoli, ci informa che la tutela i dati personali e più in particolare per la figura del destinatario del trattamento dati, è prevista per le sole persone fisiche, escludendo da questo quindi le persone giuridiche, gli enti e le associazioni.

In ottica di GDPR compliance infatti, è interessante analizzare come il GDPR si esponga ai temi sopracitati, identifichiamo alcuni punti fondamentali, e nello specifico:

  • a) l’art. 1 del regolamento, il quale precisa che “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”.
  • b) In aggiunta a l’art. 4 ci da una definizione di dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica…”.
  • c) In ultima analisi, il Considerando 14 afferma che: “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.

Da quanto espressamente indicato dal GDPR negli articoli sopra, si può vedere chiaramente come solo una persona fisica può essere considerata interessato al trattamento, mentre sono estranee a questo gruppo e pertanto non considerabili tali né le persone giuridiche, gli enti e le associazioni.

Il Considerando di cui al punto C non sostiene che alcune informazioni relative a persone giuridiche non siano dati personali, ma indica chiaramente che “nome, forma e dati di contatto” possono anche includere dati personali relativi a persone giuridiche ma tali dati non sono protetti dal GDPR.

2. ADEGUARSI AL GDPR, QUALI SONO LE INTERPRETAZIONI SUL TEMA PER LE PERSONE GIURIDICHE

Un importante spunto di riflessione può essere dato dal Working Party art.29, parere 4/2007 dove nel definire il concetto e la portata di dato personale, si possono intravedere alcune zone grigie che ci permettono di giungere a considerazioni molto più cautelative nei confronti della tutela dei dati personali riferibili a persone giuridiche.

Nello specifico, il testo fa riferimento a:”…le informazioni sulle persone giuridiche non sono in linea di principio disciplinate dalla direttiva, e quindi non godono della protezione da questa disposta. Ciò nondimeno, alcune norme di protezione dei dati possono, in certe circostanze, applicarsi indirettamente alle informazioni concernenti imprese o persone giuridiche”.

Ci possono essere quindi dei casi in cui le informazioni sulle persone giuridiche possono considerarsi “concernenti” persone fisiche in virtù della loro situazione specifica in cui vengono a trovarsi, e questo non va a ledere la tematica dell’adeguamento al GDPR.

È quel che accade nel caso dell’indirizzo e-mail di un’impresa di norma usato da un dato dipendente, o delle informazioni su una piccola impresa (giuridicamente un “oggetto” piuttosto che una persona giuridica) che possono descrivere il comportamento del suo titolare.

In tutti questi casi, in cui i criteri di “contenuto”, “finalità” o “risultato” fan sì che le informazioni su una persona giuridica o su un’impresa possano considerarsi come “concernenti” una persona fisica, è opportuno considerare tali informazioni come dati personali e si applicano le norme di protezione dei dati.

3. ADEGUARSI AL GDPR, CHE CONSEGUENZE HANNO QUESTI TEMI SULLE PERSONE GIURIDICHE

In prima analisi è importante sottolineare che, a causa di alcuni interventi normativi che sembravano nascere con finalità semplificatorie, ma hanno in molti casi accresciuto il livello di incertezza interpretativa, senza assicurare le auspicate riduzioni di oneri amministrativi”, sarebbe giusto auspicare ad “un’ulteriore valutazione da parte del Parlamento e del Governo al fine di verificare i presupposti per l’adozione di eventuali provvedimenti di competenza” in tema di tutela e protezione delle persone giuridiche.

Ma perché questo accade?.

Non di meno, per adeguarsi al GDPR è necessario interrogarci se quelle informazioni che stiamo raccogliendo siano loro stesse necessarie per le finalità per le quali intendiamo trattarli, o possiamo ridurre i rischi connessi al loro trattamento riducendo le informazioni che devono essere trattate sulla base dei principi sanciti dal GDPR e in particolare al principio enunciato all’articolo 5 del Regolamento “1.

I dati personali devo essere: “… c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Non bisogna dimenticarsi piuttosto che l’obiettivo delle norme contenute nella direttiva è proteggere i diritti e le libertà fondamentali delle persone, in particolare il diritto alla vita privata, in relazione al trattamento dei dati personali.

Le norme analizzate e descritte sopra sono state pertanto concepite per applicarsi a situazioni particolari, ad esempio situazioni in cui i diritti individuali possono essere messi a rischio e necessitano pertanto protezione.

L’attuale quadro normativo presenta inevitabilmente margini di incertezza; è pertanto opportuno un approccio pragmatico, analizzare casi concreti e valutare l’opportunità di misure di cautela per adeguarsi al GDPR e tutelare sia le persone fisiche che le persone giuridiche.