Voglio condividere una riflessione che deriva da un equivoco in cui mi rendo conto spesso nella pratica si incorre con riguardo al concetto di comunicazione/trasmissione di dati personali da un soggetto ad un altro.
L’equivoco si ingenera il più delle volte – non suoni strano ma è così – perché spesso il titolare del trattamento ritiene che, sol perché abbia legittimamente ottenuto i dati degli interessati all’origine, allora possa liberamente trasferire quegli stessi dati a terzi. Non è così.
Qui è necessario subito un chiarimento. L’unico caso in cui ai sensi del GDPR sia possibile per il titolare comunicare a terzi i dati è quello in cui il destinatario di tale comunicazione sia qualificabile come “responsabile del trattamento” ai sensi dell’art. 28 del GDPR. In questo caso, infatti, il responsabile è un mero ausiliario del titolare, deve sottostare alle sue istruzioni e non può fare con i dati quanto non sia strettamente funzionale all’erogazione in favore del titolare stesso dello specifico servizio che da questo sia stato richiesto. In altri termini, il trattamento è unico, non cambia nei suoi elementi costitutivi sol perché un terzo sia coinvolto nel trattamento stesso in funzione subordinata rispetto al titolare.
Diverso è il caso della comunicazione mediante trasmissione dei dati ad un terzo, affinché questi li utilizzi a sua volta in qualità di titolare. Si pensi all’esempio di un’agenzia che raccolga (in ipotesi legittimamente) gli indirizzi email di una serie di individui profilati per il loro interesse ai romanzi gialli e si supponga che l’agenzia proponga in vendita questo database di dati personali ad un editore di romanzi gialli che li voglia utilizzare per una propria campagna di marketing diretto. In questo caso, l’agenzia e l’editore sono due titolari autonomi, in quanto ciascuno determina autonomamente le finalità e i mezzi del trattamento.
L’art. 4. nr. 2 del GDPR è chiaro nello stabilire che nella definizione di “trattamento” rientri anche la mera “comunicazione mediante trasmissione” dei dati. Secondo il GDPR pertanto la comunicazione mediante trasmissione dei dati è in sé una forma di trattamento, che in quanto tale necessita dell’individuazione ai sensi dell’art. 6 del Regolamento di una base giuridica che la giustifichi, tenuto conto della finalità che si intenda perseguire. Nell’esempio sopra richiamato, con ogni probabilità, la sola base giuridica invocabile sarà il consenso dell’interessato (art. 6 lett. a GDPR) per finalità di marketing diretto da parte dell’editore. Consenso che come noto dovrà essere libero, specifico, informato e inequivocabile manifestazione di volontà dell’interessato.
E’ opportuno altresì chiarire che la raccolta di tale consenso spetterà, sempre stando all’esempio dato, all’agenzia che intenda cedere i dati all’editore, sulla base di un’informativa conforme all’art. 13 del GDPR; se infatti è vero che la comunicazione a terzi è in sé un trattamento, non si può coerentemente credere che l’acquisizione del consenso avvenga ex post ad opera del destinatario, sulla base di un’informativa redatta ex art. 14 GDPR che, a quel punto, avrebbe luogo a trattamento già consumato.
Il consenso non costituisce come noto la sola base giuridica del trattamento. E’ dunque possibile che il supporto di legittimità alla comunicazione dei dati da titolare ad altro titolare sia sorretto da una delle altre basi previste dall’art. 6. Un esempio che a questo riguardo viene in mente attiene al trasferimento dei dati personali dei dipendenti di una società target ad un acquirente potenziale nel contesto di un’attività di due diligenceprodromica all’acquisizione.
In un caso simile ritengo possibile giustificare il trasferimento ai sensi dell’art. 6.1 (f) del GDPR sulla base del legittimo interesse, tanto della società target che del potenziale acquirente. E’ in particolare evidente l’interesse di entrambi a, rispettivamente, dare ed avere accesso a dati personali, quali in particolare quelli dei dipendenti, nella misura in cui questi siano necessari a consentire alle parti di comprendere rischi e opportunità dell’operazione. Si pensi ad esempio al caso di controversie giuslavoristiche in atto o minacciate, che possono comportare il rischio dell’insorgenza di passività anche ingenti a carico della target (e quindi dell’acquirente nel caso di perfezionamento dell’operazione).
D’altro canto, qualunque operazione di trattamento, anche se in ipotesi lecita ai sensi dell’art. 6 GDPR, deve comunque essere rispettosa dei principi generali di liceità di cui all’art. 5, tra cui di particolare rilievo è il (troppo spesso trascurato) principio di minimizzazione del trattamento di cui alla lettera c. del richiamato art. 5. Questo principio pretende che il trattamento sia pertinente e limitato a quanto strettamente necessario rispetto alle finalità perseguite. A mente dunque di questo principio, tornando all’esempio del trasferimento di dati personali nel contesto di un’operazione di acquisizione, se l’acquirente potenziale chieda di avere accesso ad informazioni relative agli stipendi dei dipendenti, tale richiesta si può ritenere giustificata in base al legittimo interesse; allo stesso tempo, però, il principio di minimizzazione verosimilmente richiederà che tali informazioni siano fornite in forma anonimizzata, con la sola eccezione tutt’al più di quei key employees per cui, oltre al dato di stipendio, anche l’individuazione specifica del soggetto interessato può essere rilevante e può dunque trovare giustificazione nel legittimo interesse delle parti dell’operazione.
di Natalia Jurisch