– § – GDPR, EMAIL, PEC E PERSONE GIURIDICHE – § –
Con il Covid-19 è aumentato l’uso di sistemi di contatto a distanza, incluse le email, sia ordinaria, sia PEC. Alcuni aspetti poco noti in merito al GDPR di recente attuazione
Effetto Covid-19: notevole aumento nell’utilizzo di internet, maggiori comunicazioni via email, incremento di forme pubblicitarie on line, raccolta dati, uso di piattaforme varie, ecc., ecc.. L’interazione on line di qualsiasi natura, tra persone giuridiche o tra queste e le persone fisiche, ha avuto una accelerazione con aspetti che hanno interessato da vicino la materia privacy, compreso l’utilizzo di piattaforme per conference call, ad esempio.
Sempre di particolare attualità è il tema “email”. Un buon articolo che già chiarisce moltissimi aspetti è quello riportato da Agenda Digitale dal titolo “Il GDPR non si applica alle persone giuridiche (quasi mai): ecco le conseguenze” il quale illustra come il GDPR non disciplini in alcun modo il trattamento dei dati che riguardano la persona giuridica (salvo poche eccezioni) e come, allo stesso modo, secondo la normativa italiana, le comunicazioni relative alla riservatezza dei dati personali non trovano applicazione nei rapporti tra imprese.
Infatti, per chi conosce l’attuale e vigente regolamento europeo, sa perfettamente che tale disposizione chiarisce indubitabilmente che la tutela dei dati personali è indirizzata alle sole persone fisiche, con esclusione, quindi, delle persone giuridiche, degli enti e delle associazioni, pur considerando alcune eccezioni.
Infatti, l’Articolo 1 del regolamento precisa che “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”.
Ad integrazione, l’Articolo 4 rende disponibile la definizione di “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica…“.
Ad ulteriore integrazione è il “Considerando 14” che, con molta chiarezza afferma: “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto“.
Dalle norme che oggi regolamentano la materia della privacy è facilmente rilevabile come solo una persona fisica sia soggetta a trattamento e ne siano escluse le persone giuridiche, associazioni, enti, ecc..
Attenzione, il “Considerando” sopra riportato, non sostiene che alcune informazioni riguardanti persone giuridiche non siano da considerare dati personali, ma specifica con molta chiarezza che “nome, forma e dati di contatto” possano anche includere dati personali, ma tali dati non sono protetti dal GDPR.
Abbiamo dato cenno ad alcune “eccezioni”. Quali sono? Sono alcuni dati che possono riguardare una persona giuridica e per quali possono sorgere dei dubbi.
Un primo facile elemento di identificazione e, per esempio, la presenza di un nome di persona fisica che sia riportato nel nome della persona giuridica. Una ipotesi che deve essere di volta in volta valutata, in quanto quel nome potrebbe essere anche di persona deceduta.
Degno di citazione è anche il “modulo di contatto”, spesso anche un misto di dati che possono includere quelli di persone fisiche.
Tra l’altro, in molti casi, i trattamenti automatizzati di dati personali non distinguono tra dati relativi a persone fisiche e quelli relativi a persone giuridiche, per cui, in questi casi, conviene trattare sempre l’insieme dei dati come fossero dati personali relativi a persone fisiche.
Vi è anche un’altra importante eccezione, ma, prima, meglio verificare cosa prevedeva la normativa italiana.
Il testo originario del Codice Privacy includeva nella definizione di dati personale “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione“.
E’ con il Decreto Legge 6/12/2011 n. 201 (decreto Salva Italia del Governo Monti), che l’Italia ha recepito il principio che le imprese, gli enti e le associazioni non possano più essere considerati interessati al trattamento. La norma quindi, esclude l’applicazione delle disposizioni relativa al trattamento dei dati personali qualora siano riferibili a soggetti nell’esercizio dell’attività di impresa: “In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
Con la riforma di portata europea del Codice Privacy del 2018, il testo non include più disposizioni in tal senso, essendo sufficiente quanto previsto dal GDPR.
Palese, lo scopo del legislatore europeo (e di quello italiano che lo ha recepito): semplificare la gestione dei dati tra imprese.
Pertanto, siamo in presenza di una trattazione completa, dalla raccolta alla possibile comunicazione a terzi e con l’assenza di poter esercitare i normali diritti previsti per gli interessati.
Ovvio, questo non significa che una persona giuridica non possa subire dei danni a seguito di un trattamento di dati, ma, per tali casistiche, siamo in presenza delle norme prevista dal Codice Civile (articolo 2043), ferma la necessità di provare la presenza dei danni e ferma l’impossibilità di avvalersi dei vantaggi della disciplina di cui al GDPR (Articolo 2050 Codice Civile).
Tornando alle eccezioni, un’altra molto importante è quella relativa alle attività a tema “comunicazioni indesiderate”.
Il riferimento è l’articolo 130 del Codice della Privacy, ul quale dispone:
– comma 1: “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”;
– comma 2: “la disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo MMS o SMS o di altro tipo”.
Il Regolamento UE 679/2016 non ha modificato l’art.130 che riprende pressoché integralmente il contenuto di quello vigente, le sole modifiche concernono gli aspetti di coordinamento normativo con le norme del Regolamento.
Rimangono ancora nelle zone grigie quelle comunicazioni che non espongono in alcun modo messaggi pubblicitari, promozionali, di informazione commerciale o di vendita diretta, cioè comunicazioni meramente e puramente informative e che non costituiscono spam oppure una reiterazione..
Interessanti approfondimenti:
- “GDPR e marketing: tra necessità del consenso e libertà di iniziativa economica“
- “Legge sulle email pubblicitarie. Regole e norme“
- “Marketing e GDPR“
- “Fare direct marketing usando le email in modo conforme al GDPR“
