La vendita del pacchetto clienti o di una banca dati completa di anagrafica clienti e dei loro indirizzi email e recapiti telefonici è un’operazione consentita dalla legge. Ma come vanno gestite le operazioni di trasferimento di dati personali da un’azienda all’altra nel rispetto della normativa sul trattamento dei dati personali (GDPR)?

Il pacchetto della clientela può essere trasferito indipendentemente e autonomamente rispetto all’azienda, in quanto soggetto ad una propria valutazione economica. Si tratta di un’operazione che se scorporata dalla cessione di altri elementi suscettibili di far ritenere l’intera operazione come la vendita di una struttura sufficientemente autonoma tale da consentire di intraprendere o proseguire un’attività d’impresa (come quando ad esempio si cedono anche debiti, crediti, contratti con i fornitori, infrastruttura, ecc) non è qualificabile a livello fiscale nemmeno come cessione di ramo d’azienda [per un approfondimento sulla questione si veda l’interpello all’agenzia delle entrate n. 466/2019], ma solo come trasferimento dietro pagamento di un bene immateriale.

Tale operazione implica però anche delle questioni afferenti i dati personali, anch’essi oggetto di cessione, anzi possiamo dire che ciò che effettivamente viene trasferito da un soggetto ad un altro in una vendita di banca dati di clienti fidelizzati e attivi, sono dati personali di persone fisiche, che nell’operazione devono necessariamente essere interpellate o quanto meno informate. Ma in quale misura? L’impresa cedente deve chiedere necessariamente il consenso ai suoi clienti prima di comunicare i dati all’impresa acquirente?

Quali sono le azioni necessarie per essere in regola con la disciplina sui dati personali nel contesto di una vendita tra due aziende di dati di clienti, operazione di per sé legittima, in quanto ammessa dall’ordinamento?

Occorre, innanzitutto, precisare che il consenso al trattamento dei dati personali non è sempre la base giuridica idonea per effettuare un trattamento di dati (posto che anche la comunicazione a terzi mediante trasferimento rientra nella definizione di trattamento).

L’art. 6 del Regolamento individua infatti diverse basi giuridiche che possono essere considerate per legittimare un trattamento di dati personali, tra queste, oltre al consenso dell’interessato (ossia il cliente), l’esecuzione di un contratto, un interesse vitale in gioco, l’esecuzione di un compito di interesse pubblico o un obbligo di legge, vi è anche l’interesse legittimo del titolare del trattamento (che nel nostro caso è l’impresa cedente) o di terzi cui vengono comunicati i dati.

Quando può parlarsi di interesse legittimo in un trattamento di dati personali?

Il concetto di “interesse” in ambito privacy è strettamente connesso al concetto di “finalità” del trattamento, ossia lo scopo per cui avviene il trattamento, sebbene la nozione di “interesse” per certi versi risulta più estesa e va riferita al beneficio che il titolare del trattamento – o il terzo – può trarre dall’operazione.

Così ad esempio, un’impresa potrebbe avere un interesse a proteggere la salute e la sicurezza dei propri dipendenti in azienda e quindi trattare i loro dati personali per una finalità a ciò connessa. In tal caso, il titolare potrà fare ricorso al proprio interesse legittimo per trattare i dati dei suoi dipendenti a tale scopo. Con riferimento a questo aspetto, la finalità dell’impresa potrebbe essere individuata nell’attuazione di determinate procedure di controllo dell’accesso del dipendente in azienda [come nel caso del Covid -19 il rilevamento della temperatura corporea] che giustifica il trattamento di taluni dati personali specifici al fine di tutelare la salute e la sicurezza del personale.

Ancora, un’impresa potrebbe avere un interesse legittimo a trattare i dati dei suoi clienti per difendersi in un processo.

Al pari nella situazione che ci interessa, il titolare del trattamento potrebbe avere un interesse legittimo a comunicare i dati personali dei suoi clienti ad altro titolare in occasione della cessione del suo pacchetto clienti e quindi in tal caso non sarebbe necessario chiedere il loro consenso al trasferimento. Tuttavia, come chiarito dall’art. 6 del Regolamento n. 679, per avvalorare il ricorso al proprio legittimo interesse, il titolare deve effettuare un test di bilanciamento tra siffatto interesse e i diritti e le libertà degli interessati. Un test che va effettuato ovviamente prima del trasferimento dei dati al cessionario e che deve dare come risultato un basso rischio per i diritti degli interessati nel compimento dell’operazione di trasferimento dei dati personali ad un altro soggetto che diventerà appunto il nuovo titolare del trattamento del trattamento.

Come chiarito da un provvedimento del Garante del 2009, l’operazione può essere compiuta senza consenso degli interessati purchè la finalità del trattamento sia la medesima rispetto a quella per cui i dati in origine sono stati raccolti (ad esempio consentire ai clienti di continuare ad acquistare prodotti analoghi a quelli già venduti dal vecchio titolare, in quest’ottica, la cessione si rileverebbe un vantaggio per il cliente che può continuare anche tramite il nuovo titolare ad effettuare i suoi acquisti senza alcun ostacolo o impedimento); naturalmente, se le finalità cambiano o aumentano, allora si renderà necessario fare ricorso al consenso degli interessati e non più al legittimo interesse.

Il titolare dovrà poi verificare che il nuovo titolare del trattamento rispetti la normativa in materia di trattamento dei dati personali e che quindi abbia adottato misure idonee a proteggerli e a garantirne la sicurezza.

E’ vero che si può fare ricorso al legittimo interesse previo test di bilanciamento (e purchè il test dia esiti favorevoli in tal senso), snellendo l’operazione ed evitando che anche da un punto di vista commerciale essa perda di valore, ma è anche vero che gli interessati devono essere previamente informati su cosa sta accadendo rispetto alle loro informazioni personali in maniera trasparente e deve essere concesso loro un periodo di tempo congruo per opporsi al trattamento (quindi non un opt-in per l’operazione, ma un opt-out), con modalità sufficientemente semplici. I dati dei soggetti che si sono opposti non potranno essere trasferiti, ma dovranno essere cancellati.

Firmato il contratto di cessione ed effettuata l’operazione di comunicazione dei dati, il nuovo titolare dovrà poi presentarsi al primo contatto utile a chi non ha esercitato l’opposizione, rendendo idonea informativa ai suoi nuovi clienti in base all’art. 14 del Regolamento n. 679/2016 e quindi informandoli sulle finalità del trattamento (che seppure analoghe a quelle precedenti sono sempre gestite da un diverso operatore), sulle modalità, sui soggetti cui eventualmente verranno comunicati i dati, sulle modalità in cui potranno esercitare i loro diritti, sul modo in cui il nuovo titolare è entrato in possesso dei dati personali, appunto perché trasferiti dal vecchio titolare in occasione di un contratto con lo stesso a cui gli interessati non si sono opposti.

Anche nell’operazione di due diligence, quindi per appurare la portata della cessione prima del trasferimento e verificare che i dati oggetto della cessione abbiano un’idonea base giuridica e quindi siano legittimamente trattati dal cedente, è ipotizzabile si possa fare ricorso al legittimo interesse, purchè vengano adottate misure che garantiscano la massima protezione dei dati personali e quindi riducano i rischi per gli interessati [l’operazione potrebbe essere demandata ad esempio ai DPO delle parti o, in loro assenza ai propri referenti privacy o ai consulenti opportunamente autorizzati ad effettuare la verifica e istruiti sul riserbo, delle verifiche effettuate dovrebbe essere redatto verbale].

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy