Il Regolamento (UE) 2016/679 senza dubbio assicura tutela riguardo al trattamento dei dati personali, che sono definiti come “qualsiasi informazione riguardante una persona fisica…”.
Si potrebbe pensare – erroneamente – che informazioni riguardante persone giuridiche non siano in alcun modo interessati dalla disciplina in materia di protezione dei dati personali. Se così fosse, ad esempio, si potrebbero utilizzare i numeri di telefono intestati a persone giuridiche per lo svoglimento di attività di marketing senza preoccuparsi delle disposizioni privacy (raccolta consenso, informativa, ecc…)?
Per rispondere a questa domanda non bisogna dimenticare che tra le fonti della disciplina in materia di protezione dei dati personali rientra anche la normativa nazionale. Nello specifico, in Italia occorre considerare le disposizioni del D. Lgs 196/2003.
In particolare, sono di interesse le norme contenute nella parte speciale del Codice (Titolo X) emanate in attuazione della direttiva 2002/58/CE in materia di Comunicazioni elettroniche. Tale direttiva che da diversi anni è ad oggetto di un lavoro di aggiornamento a livello europeo che però non ha ancora visto la sua conclusione.
Occorre quindi tenere presente che il GDPR non tutela le persone giuridiche – ma solo quelle fisiche – e il Codice Privacy che invece, in determinate circostanze, si applica anche alle persone giuridiche.
Per comprendere questo disallineamento bisogna ripercorrere brevemente la storia degli interventi normativi che si sono susseguiti nel tempo, soprattutto a livello nazionale
- La direttiva 95/46/CE, che ha preceduto il GDPR nel disciplinare la protezione dei dati personali a livello europeo, aveva lasciato un ampio margine di manovra ai singoli Stati, in sede di recepimento nazionale, sulla possibilità di estendere la portata applicativa delle norme in materia di privacy anche alle persone giuridiche ovvero di limitarla esclusivamente ai trattamenti di dati delle sole persone fisiche. Il legislatore italiano del 1996, con scelta confermata anche nel 2003 con il Codice Privacy (a differenza della maggior parte degli altri Stati membri), aveva optato per tutelare anche le persone giuridiche, così incrementando, sia gli oneri in capo ai titolari del trattamento sia le garanzie e le tutele in favore delle persone giuridiche nella specifica qualifica di interessati.
- Con lo scopo di alleggerire gli adempimenti privacy a carico dei titolari del trattamento, con D. l. n. 201 del 6 dicembre 2011, convertito in legge n. 214 del 22 dicembre 2011, il legislatore italiano ha modificato alcune disposizioni contenute nella parte generale del Codice Privacy restringendo la portata applicativa di tutte le disposizioni del Codice stesso che riguardavano gli interessati alle sole persone fisiche.
- Con successivo decreto (d. lgs. 28 maggio 2012, n. 69) è stato modificato e integrato il Titolo X del Codice relativo alle Comunicazioni elettroniche. A seguito di questa riforma, la quasi totalità di tali disposizioni sono rivolte a destinatari individuati non in funzione della loro qualifica soggettiva di persona fisica o giuridica, bensì di una qualifica differente, e cioè quella di “contraente”, accanto a quella di “utente” già prevista.
La qualifica di “contraente” presente nel Titolo X del Codice – di derivazione, appunto, contrattuale – è applicabile tanto alle persone fisiche quanto alle persone giuridiche che hanno stipulato un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi.
Il punto di attenzione, non è tanto (o soltanto) l’applicabilità della normativa privacy alle persone giuridiche, quanto la finalità per cui il dato dell’ente viene trattato. Se si intende utilizzare il dato di contatto dell’ente nell’ambito di comunicazioni promozionali mediante mezzi elettronici, si rientra nell’ambito disciplinato dal Titolo X del Codice Privacy che si rivolge anche alle persone giuridiche. Ai sensi dell’art. 130 del Codice Privacy sarà quindi necessario raccogliere il consenso del “contraente” persona giuridica (salvo che per i casi di c.d. “soft spam” disciplinati al comma 4) per poter procedere all’invio di tali comunicazioni.
Come evidenziato sopra, le riforme che hanno interessato il Codice Privacy contribuiscono a creare un impianto normativo complesso e di difficile lettura, non privo di incongruenze causate dal mancato coordinamento tra le disposizioni preesistenti e le modifiche che si sono man mano succedute. Tra queste disarmonie vi è il fatto che, da un lato, per inviare comunicazioni promozionali alle persone giuridiche in qualità di contraenti, ad oggi, occorre raccoglierne il consenso, dall’altro lato, però, le persone giuridiche – non rientrando nella qualifica di interessati – non dispongono degli strumenti di tutela propri di questi ultimi. Non potranno né esercitare i diritti garantiti dall’art. 15 e ss. del GDPR né rivolgersi all’Autorità Garante, entrambe tutele previste per le sole persone fisiche in qualità di interessati.
A disposizione delle persone giuridiche, in caso di violazioni della normativa privacy ad esse applicabile, restano gli ordinari rimedi giurisdizionali da azionare dinanzi all’Autorità giudiziaria (ad es. risarcimento del danno ex art 2043 c.c. in materia di responsabilità extracontrattuale) con conseguenti costi e oneri probatori.
