Un’azienda fallisce: che fine fanno i dati personali da essa posseduti?
In questo difficile momento economico, molte aziende si trovano in gravi difficoltà economica, soprattutto quelle nell’ambiente del turismo e dell’ospitalità. Ci troviamo davanti ad aziende che probabilmente hanno un ricchissimo archivio di dati personali dei clienti, che esse hanno accumulati negli anni e questo archivio potrebbe essere di interesse per qualche azienda specifica.
Ci si domanda se e come questi dati possano essere utilizzati da un’altra azienda, alla luce del fatto che essi vennero inizialmente acquisiti ed archiviati dall’azienda, attualmente in difficoltà.
Il tema è stato esaminato più volte non solo in Italia, ma anche all’estero e addirittura è già disponibile una sentenza dell’alta corte britannica proprio su questo argomento.
Chi si occupa della gestione di un’eventuale vendita di un’intera azienda o della sua banca dati deve avere una idea chiara sulla titolarità di questi dati e su eventuali rischi, cui si può andare incontro, ove tali dati vengano utilizzati in modo improprio.
Cominciamo ad esaminare il caso in cui una azienda in difficoltà viene acquistata da una altra azienda. È possibile che l’obiettivo principale dell’azienda acquirente sia proprio quello di entrare in possesso dell’archivio di dati personali dell’azienda acquisita.
Se l’azienda, che inizialmente era titolare dei dati personali, scompare dal mercato, è evidente che si pongono dei problemi per l’azienda acquirente, in quanto il consenso originale al trattamento è stato rilasciato alla azienda scomparsa e non all’azienda acquirente.
Diversa è la situazione nella quale l’azienda acquirente mantiene in vita, seppure solo sulla carta, l’azienda acquisita; in questo caso il consenso inizialmente acquisito continua ad essere valido. Resta inteso che se questo consenso viene utilizzato per attività di marketing, occorre leggere attentamente la formulazione del consenso iniziale, perché una formulazione troppo ristretta potrebbe impedire alla nuova azienda acquirente di utilizzare tale base dei dati per la promozione dei propri prodotti. Occorre leggere quindi attentamente la formulazione e comportarsi di conseguenza.
Se invece un’azienda terza è interessata solo all’acquisto della banca dati, e non dell’intera azienda, che ne è titolare, la faccenda cambia aspetto e ci troviamo davanti alla vendita di un bene, anche se di natura immateriale. Anche in questo caso, se il consenso originale non prevedeva il trasferimento di dati ad altra azienda, se pure per analoghe finalità, possono nascere dei problemi.
A questo punto occorre leggere con attenzione l’articolo 14 del regolamento generale sulla protezione dei dati personali, che prende in considerazione le informazioni da fornire, qualora i dati personali non siano stati ottenuti presso l’interessato. Come regola generale, l’acquirente dei dati o dell’intera azienda dovrebbe inviare una comunicazione all’intero parco dei clienti, informandoli di questa nuova situazione e soprattutto del cambio di titolare, chiedendo un nuovo consenso.
Quando però ci troviamo davanti a banche dati estremamente ampie, si può applicare il comma 4 dell’articolo 14, che prevede una semplificazione dell’obbligo di informazioni, ad esempio pubblicando un comunicato sui mezzi di comunicazione di massa, o sul sito Internet dell’azienda venditrice, tenuto in piedi solo per queste finalità, e via dicendo.
Infine, nasce un ulteriore problema se nella fase di cessione dei dati, dovesse mettersi in evidenza una violazione dei dati, che si è verificata immediatamente prima o in tempi precedenti alla cessione della banca dati. Si tratta di una situazione estrema, ma certamente nessuno può affermare che non sia concretamente realizzabile. In questo caso, anche alla luce delle severe sanzioni che possono essere applicate in questo caso, occorre chiarire che il trasferimento della banca dei dati non comporta automaticamente il trasferimento di tutte le responsabilità pregresse, a meno che tali responsabilità non fossero già ben note all’acquirente. Si tratta di un argomento assai delicato, soprattutto in caso di cessione a seguito di fallimento, perché il curatore fallimentare, designato dalla magistratura, deve tenere ben presenti questi aspetti, che debbono essere formalizzati nell’atto di cessione dei dati.
Infine, vi è un ultimo aspetto da tenere presente, in relazione al fatto che l’azienda acquirente utilizzi questi dati per le stesse finalità dell’azienda cedente. In questo caso non vi è una sostanziale alterazione o violazione dei diritti dell’interessato, in quanto a suo tempo l’interessato accettò di ricevere informazioni commerciali, ad esempio su oggetti di abbigliamento. Se la nuova azienda tratta anch’essa oggetti di abbigliamento, è evidente che difficilmente l’interessato potrà ritenere che i suoi diritti siano stati in qualche modo violati.
Come accennato in precedenza, l’argomento è di estremo interesse, tant’è vero che l’alta corte britannica, che dovette gestire l’ormai famoso caso della liquidazione dell’azienda Cambridge Analytica, ha avuto modo di affermare che il liquidatore non diventava automaticamente titolare del trattamento di dati personali dell’azienda in causa, in quanto il liquidatore non assumeva decisioni afferenti al trattamento in sé stesso.
L’alta corte britannica chiarì anche che non vi era alcun obbligo per i liquidatori di indagare su violazioni dei dati, avvenute prima della loro designazione, mentre invece era obbligo primario dei liquidatori provvedere con efficienza ed efficacia alla alienazione dei beni.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.