Voglio condividere una riflessione che deriva da un equivoco in cui mi rendo conto spesso nella pratica si incorre con riguardo al concetto di comunicazione\/trasmissione di dati personali da un soggetto ad un altro.<\/p>\n\n\n\n
L’equivoco si ingenera il pi\u00f9 delle volte \u2013 non suoni strano ma \u00e8 cos\u00ec \u2013 perch\u00e9 spesso il titolare del trattamento ritiene che, sol perch\u00e9 abbia legittimamente ottenuto i dati degli interessati all’origine, allora possa liberamente trasferire quegli stessi dati a terzi. Non \u00e8 cos\u00ec.<\/p>\n\n\n\n
Qui \u00e8 necessario subito un chiarimento. L’unico caso in cui ai sensi del GDPR sia possibile per il titolare comunicare a terzi i dati \u00e8 quello in cui il destinatario di tale comunicazione sia qualificabile come \u201cresponsabile del trattamento\u201d ai sensi dell’art. 28 del GDPR. In questo caso, infatti, il responsabile \u00e8 un mero ausiliario del titolare, deve sottostare alle sue istruzioni e non pu\u00f2 fare con i dati quanto non sia strettamente funzionale all’erogazione in favore del titolare stesso dello specifico servizio che da questo sia stato richiesto. In altri termini, il trattamento \u00e8 unico, non cambia nei suoi elementi costitutivi sol perch\u00e9 un terzo sia coinvolto nel trattamento stesso in funzione subordinata rispetto al titolare.<\/p>\n\n\n\n
Diverso \u00e8 il caso della comunicazione mediante trasmissione dei dati ad un terzo, affinch\u00e9 questi li utilizzi a sua volta in qualit\u00e0 di titolare. Si pensi all’esempio di un’agenzia che raccolga (in ipotesi legittimamente) gli indirizzi email di una serie di individui profilati per il loro interesse ai romanzi gialli e si supponga che l’agenzia proponga in vendita questo database di dati personali ad un editore di romanzi gialli che li voglia utilizzare per una propria campagna di marketing diretto. In questo caso, l’agenzia e l’editore sono due titolari autonomi, in quanto ciascuno determina autonomamente le finalit\u00e0 e i mezzi del trattamento.<\/p>\n\n\n\n
L’art. 4. nr. 2 del GDPR \u00e8 chiaro nello stabilire che nella definizione di \u201ctrattamento\u201d rientri anche la mera \u201ccomunicazione mediante trasmissione\u201d dei dati. Secondo il GDPR pertanto la comunicazione mediante trasmissione dei dati \u00e8 in s\u00e9 una forma di trattamento, che in quanto tale necessita dell’individuazione ai sensi dell’art. 6 del Regolamento di una base giuridica che la giustifichi, tenuto conto della finalit\u00e0 che si intenda perseguire. Nell’esempio sopra richiamato, con ogni probabilit\u00e0, la sola base giuridica invocabile sar\u00e0 il consenso dell’interessato<\/strong> (art. 6 lett. a GDPR) per finalit\u00e0 di marketing diretto<\/strong> da parte dell’editore. Consenso che come noto dovr\u00e0 essere libero, specifico, informato e inequivocabile manifestazione di volont\u00e0 dell’interessato.<\/p>\n\n\n\n E’ opportuno altres\u00ec chiarire che la raccolta di tale consenso spetter\u00e0, sempre stando all’esempio dato, all’agenzia che intenda cedere i dati all’editore, sulla base di un’informativa conforme all’art. 13 del GDPR; se infatti \u00e8 vero che la comunicazione a terzi \u00e8 in s\u00e9 un trattamento, non si pu\u00f2 coerentemente credere che l’acquisizione del consenso avvenga ex post ad opera del destinatario, sulla base di un’informativa redatta ex art. 14 GDPR che, a quel punto, avrebbe luogo a trattamento gi\u00e0 consumato.<\/p>\n\n\n\n Il consenso non costituisce come noto la sola base giuridica del trattamento. E’ dunque possibile che il supporto di legittimit\u00e0 alla comunicazione dei dati da titolare ad altro titolare sia sorretto da una delle altre basi previste dall’art. 6. Un esempio che a questo riguardo viene in mente attiene al trasferimento dei dati personali dei dipendenti<\/strong> di una societ\u00e0 target ad un acquirente potenziale nel contesto di un’attivit\u00e0 di due diligence<\/strong>prodromica all’acquisizione.<\/p>\n\n\n\n In un caso simile ritengo possibile giustificare il trasferimento ai sensi dell’art. 6.1 (f) del GDPR sulla base del legittimo interesse<\/strong>, tanto della societ\u00e0 target che del potenziale acquirente. E’ in particolare evidente l’interesse di entrambi a, rispettivamente, dare ed avere accesso a dati personali, quali in particolare quelli dei dipendenti, nella misura in cui questi siano necessari a consentire alle parti di comprendere rischi e opportunit\u00e0 dell’operazione. Si pensi ad esempio al caso di controversie giuslavoristiche in atto o minacciate, che possono comportare il rischio dell’insorgenza di passivit\u00e0 anche ingenti a carico della target (e quindi dell’acquirente nel caso di perfezionamento dell’operazione).<\/p>\n\n\n\n D’altro canto, qualunque operazione di trattamento, anche se in ipotesi lecita ai sensi dell’art. 6 GDPR, deve comunque essere rispettosa dei principi generali di liceit\u00e0 di cui all’art. 5, tra cui di particolare rilievo \u00e8 il (troppo spesso trascurato) principio di minimizzazione del trattamento<\/strong> di cui alla lettera c. del richiamato art. 5. Questo principio pretende che il trattamento sia pertinente e limitato a quanto strettamente necessario rispetto alle finalit\u00e0 perseguite. A mente dunque di questo principio, tornando all’esempio del trasferimento di dati personali nel contesto di un’operazione di acquisizione, se l’acquirente potenziale chieda di avere accesso ad informazioni relative agli stipendi dei dipendenti, tale richiesta si pu\u00f2 ritenere giustificata in base al legittimo interesse; allo stesso tempo, per\u00f2, il principio di minimizzazione verosimilmente richieder\u00e0 che tali informazioni siano fornite in forma anonimizzata, con la sola eccezione tutt’al pi\u00f9 di quei key employees<\/em> per cui, oltre al dato di stipendio, anche l’individuazione specifica del soggetto interessato pu\u00f2 essere rilevante e pu\u00f2 dunque trovare giustificazione nel legittimo interesse delle parti dell’operazione.<\/p>\n\n\n\n di Natalia Jurisch<\/p>\n","protected":false},"excerpt":{"rendered":" Voglio condividere una riflessione che deriva da un equivoco in cui mi rendo conto spesso nella pratica si incorre con riguardo al concetto di comunicazione\/trasmissione di dati personali da un soggetto ad un altro. L’equivoco si ingenera il pi\u00f9 delle volte \u2013 non suoni strano ma \u00e8 cos\u00ec \u2013 perch\u00e9 spesso il titolare del trattamento […]<\/p>\n","protected":false},"author":20,"featured_media":3846,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","iawp_total_views":1705,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1801","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/20"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1801"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1801\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3846"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}