ADEGUAMENTO PRIVACY: COSA FARE SE IL CLIENTE È UNA PERSONA GIURIDICA
L’adeguamento al GDPR crea spesso difficoltà e incertezze quando la società che volesse muoversi in tale direzione avesse un target di clienti che non siano persone fisiche, ma altre società.
Se infatti non c’è di mezzo la persona fisica come si regolano i rapporti tra le due società? Chi sarà il Titolare del trattamento e chi invece il Responsabile, e quali adempimenti saranno necessari?
L’interessato è solo la persona fisica
Partiamo da un punto fermo, l’art 4., comma 1) del GDPR, secondo il quale: “«dato personale» è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
Il GDPR tutela, dunque, solo la persona fisica, che viene definita interessato, e sono dati personali solo quelli che coinvolgono la persona fisica.
Facciamo un esempio: se un trattamento ha ad oggetto dati contabili, gli stessi dovranno almeno essere accompagnati da dati anagrafici di una persona fisica (nome, cognome…) per poter godere della tutela prevista dal GDPR.
Se il cliente è una persona fisica la gestione privacy è abbastanza agevole: sappiamo che il Titolare (la società a cui il cliente si rivolge) ha innanzitutto l’obbligo di informare il cliente e di ottenere il suo consenso per specifiche finalità che riguardino il trattamento dei suoi dati personali, per poi mettere in piedi una serie di misure di sicurezza che la stessa riterrà adeguate a proteggere i dati personali che il cliente le ha affidato.
Come regolare i rapporti tra due società
Prendiamo adesso in considerazione l’ipotesi in cui non ci sia un cliente persona fisica, ma sia una società che si rivolge ad un’altra società per ottenere le sue prestazioni, come deve fare questa per fornire un servizio che sia ‘privacy compliant’?
Titolare e responsabile del trattamento
Chiariamo innanzitutto come vadano inquadrate, dal punto di vista privacy, le due società, per poi individuare gli interessati, e i dati personali degli stessi che devono essere oggetto di tutela.
Se, ad esempio, la società A fornisce alla società B un’attività di consulenza, la società A sarà Responsabile del trattamento e la società B sarà Titolare.
A questo punto però, se abbiamo detto che il GDPR tutela le sole persone fisiche, viene lecito domandarsi chi siano in questo caso i soggetti interessati.
Nell’esempio citato gli interessati saranno i clienti della società B, persone fisiche che si rivolgono alla stessa per ottenere un servizio, e i cui dati personali vengono trasferiti da questa alla società A affinché possa svolgere la sua consulenza.
Come si può notare è sempre necessario che entrino in gioco dati personali e quindi persone fisiche; nell’esempio citato la società A non si interfaccerà mai direttamente con una persona fisica, ma le verranno comunque trasferiti dati personali dei clienti (persone fisiche) della società B.
Cosa fare per essere ‘compliant’ al GDPR?
Spesso capita di vedere che, anche in una fattispecie come quella riportata nell’esempio, le società inviano ai loro clienti persone giuriche delle informative, talvolta accompagnate da improbabili consensi da far firmare.
In realtà in questo caso non sussiste alcun obbligo di informativa, perché abbiamo chiarito che informative e consensi sono necessari solo nel caso in cui ci sia un contatto diretto con la persona fisica.
Nomina a Responsabile e registro del Responsabile del trattamento
La nostra società dovrà invece essere nominata da ogni suo cliente responsabile del trattamento (art 28 GDPR) e mettere in atto una serie di misure di sicurezza, richieste dal Titolare e/o implementate dalla stessa di sua iniziativa, che tutelino i dati personali che le vengono trasferiti
Il GDPR prevede inoltre che chiunque venga nominato Responsabile del trattamento tenga un registro, sul quale, per ogni cliente, devono essere riportati i dati di contatto del DPO, descritta la categoria di trattamenti effettuati e le misure di sicurezza volte a garantirne che ciò avvenga in conformità al GDPR.