Persone fisiche o persone giuridiche? I dubbi amletici del marketing

Quando nel 2011 il c.d. decreto “Salva Italia” ha espunto dall´art. 4 del Codice della Privacy (relativo, tra l´altro, alle nozioni di “interessato” e di “dato personale”), ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni, e ha mantenuto il riferimento alle sole persone fisiche, molti hanno tirato un sospiro di sollievo, ritenendo che l’operazione di grossolana chirurgia compiuta dal legislatore avrebbe sensibilmente ridotto gli adempimenti privacy nei rapporti tra imprese.

Successivamente, è entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 il quale ha parzialmente modificato alcune disposizioni del capo 1 (“Servizi di comunicazione elettronica”) del titolo X (“Comunicazioni elettroniche”) del Codice, introducendo la qualifica di “contraente”- la quale riguarda certamente anche le persone giuridiche- in luogo di quella di “abbonato”.

Le due modifiche hanno causato incongruenze e lacune. Infatti, se da un lato le persone giuridiche (e affini) non possono essere destinatarie di comunicazioni commerciali indesiderate effettuate attraverso modalità automatizzate, rientrando nella qualifica di “contraente”, sulla quale si incentra la tutela della privacy in materia di comunicazioni elettroniche, dall’altro, le persone giuridiche ed enti assimilati,  se destinatarie di spam non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non sono più “interessati”. E dette tutele si riferiscono ancora soltanto a questi ultimi (solo persone fisiche).

Tuttavia, in quanto “contraenti”, le persone giuridiche (et similia) si possono avvalere degli ordinari strumenti di tutela forniti dall’ordinamento, quindi, possono esperire presso l´autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio, l´azione inibitoria e/o l´azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell´art. 167 c.p., anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni. Inoltre, e questo è un aspetto da non sottovalutare, essi possono beneficiare dell´eventuale esercizio dei poteri di iniziativa ex officio -quanto a provvedimenti inibitori, prescrittivi e/o sanzionatori- da parte dell’autorità Garante, qualora emergano i presupposti di un possibile trattamento illecito di dati.

Autorità che, peraltro, si è preoccupata di chiarire i confini delle esclusioni della tutela codicistica, ritenendo che la distinzione tra persone fisiche e giuridiche, enti e associazioni non fosse sempre lampante. Infatti, per forza di cose, le persone giuridiche, come l’ente e l’associazione, sono idealmente abitate da persone fisiche, che le agiscono con diverso grado di separazione ed autonomia.

E’ possibile allora che nei rapporti con queste entità emergano ancora profili di trattamento dei dati personali? Dove si delinea il confine?

Si tratta di una distinzione cruciale soprattutto perché può delineare il confine tra marketing (lecito) e spam (illecito).

Secondo alcuni,  la riforma operata dal “Salva Italia”,  dovrebbe condurre ad escludere la tutela codicistica  ogni volta che  il trattamento del dato “personale” sia finalizzato e diretto alla persona giuridica (o simile) anche se avviene – necessariamente- per il tramite di persone fisiche.  Si tratta di un’interpretazione che favorisce le attività di marketing, ma il Garante non pare di tale avviso, e nel provvedimento n. 330 del 4 luglio 2013 “Linee guida in materia di attività promozionale e contrasto allo spam”  segna un confine idoneo a comprimere fortemente l’ambito di operatività della riforma, e che non mi pare sia stato oggetto della necessaria attenzione: l’Autorità muovendo dalla considerazione che, in riferimento alla posta elettronica, può risultare difficile distinguere se un destinatario sia una persona fisica o giuridica, ed osservando che può essere questo il caso dei dipendenti che lavorano in una determinata società che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalità (ad esempio, nome.cognome@società.com), giunge alla conclusione che questo tipo di dato rientra nell’ambito del trattamento dei dati personali.

Motiva il Garante: “Ebbene -in linea con quanto precisato dal Gruppo Art. 29 (con i pareri n. 4/1997 e n. 5/2004) e sulla base dei criteri di “contenuto”, “finalità” o “risultato” ivi enunciati per poter definire alcune informazioni sulle persone giuridiche come “concernenti” persone fisiche- tali indirizzi vanno considerati  indirizzi “personali” di posta elettronica e i loro rispettivi assegnatari come “interessati”, con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele. Ciò, fermo restando quanto già stabilito sull´utilizzo della posta elettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamento dei dati dei lavoratori (in particolare, cfr. “Linee guida del Garante per posta elettronica e Internet” del 1 marzo 2007, doc. web n. 1387522)”. 

Nel parere citato dal Garante (5/2004) si legge“Rimane la questione di sapere in che modo il mittente può determinare se un destinatario è una persona fisica o giuridica. In altri termini, quale sforzo il mittente sarà obbligato a fare per verificare se un numero/indirizzo appartiene realmente a una persona giuridica? Sarà necessario adottare molte precauzioni, nel caso in cui il mittente non abbia la certezza che l´indirizzo di posta elettronica appartiene a una persona giuridica (“segretariato@società.com”). Spesso le persone fisiche utilizzano indirizzi di posta elettronica con pseudonimi”.

Il Garante, forse più propriamente intendeva riferirsi al parere reso dal Gruppo di Lavoro art 29 n. 4/2007, ove la linea di demarcazione sfuma tanto da rendersi quasi impercettibile: “ Le informazioni sulle persone giuridiche possono considerarsi “concernenti” persone fisiche in virtù della loro situazione specifica, conformemente ai criteri stabiliti nel presente documento. È quel che accade quando il nome di una persona giuridica deriva dal nome di una persona fisica, oppure nel caso dell´indirizzo e-mail di un’impresa di norma usato da un dato dipendente, o delle informazioni su una piccola impresa (giuridicamente un “oggetto” piuttosto che una persona giuridica) che possono descrivere il comportamento del suo titolare. In tutti questi casi, in cui i criteri di “contenuto”, “finalità” o “risultato” fan sì che le informazioni su una persona giuridica o su un´impresa possano considerarsi come “concernenti” una persona fisica, è opportuno considerare tali informazioni come dati personali e si applicano le norme di protezione dei dati”.

Pertanto, in questo settore, alle aziende conviene fare molta, molta attenzione, perché le comunicazioni acconsentite dovranno essere indirizzate a indirizzi riconducibili inequivocabilmente alla sola persona giuridica.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017