NEWS

Cosa significa "dati di contatto" per una persona giuridica

I dati di contatto di una persona giuridica non sono un dato personale. Lo dice il Considerando 14 del Regolamento UE 2016/679, che esclude l’applicazione del Gdpr ai dati di contatto degli enti plurisoggettivi (che abbiano o meno la personalità giuridica, come intesa nell’ordinamento italiano). Ma il problema, che sta creando un discreto caos, è che cosa debba intendersi per dato di contatto.

Il dato di contatto è una informazione che consente di mettersi in contatto. Il dato di contatto può riferirsi ad un ente, ma può contemporaneamente anche riferire qualche cosa sul conto di una persona fisica. Ad esempio si prenda un indirizzo di posta elettronica costruito con l’inserimento del nome e del cognome del dipendente. Ci si chiede, quindi, se tenere una rubrica con questi riferimenti costituisca trattamento di dati personali.

Da un lato l’indirizzo di posta elettronica del dipendente contiene il nome e cognome del dipendente, ma dall’altro lato si tratta del soggetto che – pro tempore – è investito di una funzione o di un compito aziendale.

Tanto che all’avvicendamento di un dipendente ad un altro segue la necessità di aggiornare la propria rubrica.

Come uscirne?

Una proposta ragionevole è quella di verificare il contesto e la finalità delle operazioni che si compiono con quelle informazioni.

Distinguiamo alcuni casi.

Il primo è dell’utilizzo del dato di contatto aziendale contenente informazioni identificative del dipendente nell’ambito delle relazioni commerciali/istituzionali di due enti.

L’ente A ha bisogno di dialogare con l’ente B (ad esempio per concordare la modalità di consegna di una certa merce); è evidente che devono dialogare due persone fisiche ed è evidente che il contesto è il contratto tra gli enti e la finalità è l’esecuzione del contratto.

In relazione a vicende di questo tipo si esplicita un’ipotesi di lavoro, sottoposta al giudizio e alla pubblica discussione, articolata nei seguenti passaggi:

1) l’ente A deve dare al suo dipendente un atto di informazione, nel quale spiega che i dati inseriti in un recapito aziendale saranno comunicati a interlocutori contrattuali; altrettanto deve fare l’ente B;
2) l’ente A non è tenuto a mandare un atto di informazione direttamente al dipendente dell’ente B e viceversa;
3) l’ente A tratta le informazioni identificative inserite in un recapito aziendale dell’ente B per l’esecuzione del contratto o per rispondere a richieste pre-contrattuali e, per quanto non direttamente riconducibile al contratto, in base a un legittimo interesse;
4) l’ente A e l’ente B devono: a) reciprocamente assicurarsi di avere ciascuno nel proprio ambito organizzativo fornito l’informazione ai propri dipendenti ai fini della corrispondenza con altri enti per ragioni aziendali; b) reciprocamente scambiarsi una informativa su come useranno i dati di contatto contenenti dati identificativi dei dipendenti del proprio interlocutore contrattuale.

Il secondo caso è dell’utilizzo delle informazioni identificative inserite in un recapito aziendale per ragioni diverse da quelle riconducibili a rapporti giuridici tra i due enti.

In questo caso l’ente A usa i dati del dipendente B per ragioni extra-aziendali e allora sarà tenuto a una informativa e, se ne ricorrano i presupposti, a raccoglierne il consenso.

Ancora una riflessione in merito all’utilizzo per scopi di marketing di recapiti aziendali contenenti dati identificativi del dipendente.

Si deve, anche qui, distinguere tra marketing diretto all’azienda e marketing diretto alla persona fisica.

Nel primo caso si manda una comunicazione pubblicitaria a un’azienda e per esso all’indirizzo di posta elettronica contenente dati identificativi del suo dipendente.

Nel secondo caso si manda una comunicazione pubblicitaria a una persona fisica, che viene rintracciata mediante un indirizzo di posta elettronica aziendale.

Nel primo caso, fermo restando l’obbligo di informazione di ciascun Ente al proprio dipendente, occorre verificare quale sia la base giuridica e, quindi, verificare se siamo nell’ambito del soft spam o, a seconda delle circostanze, se occorra un’espressione del consenso o la mancata espressione del dissenso.

Nel secondo caso è dovuta l’informativa alla persona fisica ed occorre applicare alla singola persona fisica le basi giuridiche possibili (consenso o legittimo interesse).

Quanto sopra è espresso a prescindere dalla possibilità, che il datore di lavoro potrebbe anche negare, per il singolo di utilizzare l’indirizzo di posta elettronica contenenti i propri dati identificativi per ragioni personali.

Con riferimento alle ipotesi in cui si tratta di corrispondenza per l’azienda, in persona del dipendente, l’azienda ha l’obbligo di comunicare ai propri interlocutori se una persona non faccia più parte della propria organizzazione, cosicché possa essere cancellato dalla rubrica aziendale l’indirizzo di posta elettronica contenenti i dati identificativi di un ex dipendente di altro ente.

Ogni contributo, anche dissenziente, è ovviamente ben accetto, così da costruire insieme un tassello interpretativo condiviso.

Articolo di Antonio Ciccia Messina

Note sull'autore

Antonio Ciccia Messina Antonio Ciccia Messina

Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole - Twitter: @antonio_ciccia

Prev Zuckerberg non ce la fa a controllare Facebook e chiede regole agli Stati per non avere più responsabilità
Next Monetizzare i nostri dati? forse meglio pagare per la nostra privacy

I chiarimenti del Garante sulla Norma UNI 11697:2017

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo