È legale creare un database contenente dati aziendali?
Sono uno sviluppatore software e necessito una consulenza legale per il lancio di un servizio incentrato su un algoritmo in grado di ricercare dati su attività commerciali per l’esecuzione di analisi di mercato e per effettuare contatti automatici attraverso WhatsApp, LinkedIn e altre chat. Mi chiedo se è possibile usare e vendere queste informazioni, considerato che i dati aziendali non sono coperti dal GDPR in quanto non sono persone fisiche.
L’attività prospettata nel quesito pone non pochi problemi.
Innanzitutto, va fatta un’importante premessa. Sebbene sia vero che le norme del Gdpr (Regolamento Europeo n. 679/2016) non si applichino ai dati aziendali, è altrettanto vero che molti di questi “celano” al loro interno informazioni riferiti a
In buona sostanza, le informazioni relative alle imprese individuali possono costituire dati personali se consentono l’identificazione di una persona fisica (si pensi agli indirizzi e-mail aziendali del tipo «nome.cognome@azienda.it», ad esempio).
La raccolta di dati del genere sarebbe illegale. Già diversi anni fa il Garante per la privacy ha stabilito che non è possibile mettere in vendita né diffondere in alcun modo banche dati contenente informazioni personali (indirizzi di posta elettronica, numeri di fax e di telefono, ecc.), ancorché lecitamente estratte da registri pubblici, a meno che non ci sia il consenso delle persone alle quali quei dati appartengono.
Le norme sulla protezione dei dati personali stabiliscono, infatti, che è lecito estrarre e raccogliere dati personali, senza la necessità di avere il consenso degli interessati, da pubblici registri, documenti o elenchi conoscibili da chiunque.
Ma le norme precisano anche che è obbligatorio informare gli interessati della costituzione della
D’altronde, tanto si evince anche dalle numerose sentenze giurisprudenziali (tra le altre, Trib. Roma, sent. n. 12076/2015) che proibiscono di utilizzare le immagini dei profili social altrui, sebbene pubbliche.
Secondo la giurisprudenza, anche se un profilo è liberamente accessibile e reso pubblico, le immagini presenti all’interno non possono essere utilizzate da tutti. Una foto o un ritratto, pubblicato sui social, restano di proprietà dell’autore e, senza il consenso dell’interessato, non possono essere utilizzati da altre persone.
Tale ragionamento vale per ogni altro dato personale presente online.
Venendo ai dati aziendali (partita iva, codice Ateco, ecc.), questi non rientrano all’interno del Gdpr. Così il “considerando” nr. 14:
«Il presente regolamento non disciplina il trattamento dei
Nello stesso senso anche l’articolo 1:
«Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati».
Tanto è confermato anche dalla definizione stessa di “dato personale” contenuta nell’articolo 4 del suindicato GDPR:
«Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
Alla luce di tale quadro normativo, in teoria dovrebbe ritenersi lecita l’attività volta a creare una banca dati contenente esclusivamente le informazioni delle persone giuridiche, avendo quindi cura di distinguere i dati “totalmente” aziendali da quelli “misti” che, potendo contenere informazioni riconducibili a persone fisiche, andrebbero scartati.
Giunti a questo punto, però, possono sorgere problemi per quanto riguarda le modalità di raccolta di tali dati.
Il Garante per la privacy si è occupato di scraping con riferimento alla raccolta di dati di contatti da diverse fonti per pubblicarle su un singolo sito web a fini di telemarketing, come un unico elenco telefonico consultabile online.
Il Garante (provv. 14 gennaio 2016) ha vietato tale pratica. Allo stesso modo ha vietato (provv. primo febbraio 2018) a una società commerciale di utilizzare gli indirizzi email e pec dei professionisti (che sono pubblici per finalità di trasparenza e non per ricevere spam) prelevati da elenchi di pubblico dominio ma senza consenso
In linea di massima, dunque, il Garante ritiene illecito l’utilizzo di dati raccolti tramite web scraping per finalità incompatibili con quelle iniziali.
In tale quadro, nel 2022 ha sanzionato Clearview per aver raccolto le immagini online contenenti volti di persone per addestrare il sistema di riconoscimento facciale dell’azienda. In tale caso, infatti, la pubblicazione delle foto non aveva la finalità di addestrare sistemi di intelligenza artificiale e quindi la raccolta e l’utilizzo è stato ritenuto illecito in assenza di consenso.
Ancor più recentemente (provv. 17 maggio 2023), ha sanzionato il portale Trovanumeri.com per aver creato e diffuso su Internet un elenco telefonico tramite web scraping.
Alla luce di questa rassegna a firma del Garante, possiamo affermare che, nel nostro ordinamento, vige il principio per cui è vietata la raccolta e successiva diffusione (o cessione) dei dati che, seppur presenti su pubblici registri, sia fatta per finalità di marketing o, comunque, per fini diversi da quelli che hanno giustificato la pubblicazione
In buona sostanza, se un indirizzo pec compare sul registro Ini-Pec, non significa che è possibile utilizzarlo per ragioni di spam.
La raccolta massiva di dati costituisce quindi sempre un rischio, che può dirsi solo attenuato (ma non escluso) nell’ipotesi in cui tali informazioni riguardino le aziende.
Come già ricordato, in quest’ultimo caso occorre prestare attenzione affinché:
- i dati raccolti siano esclusivamente aziendali e non si possa risalire alle persone fisiche (altrimenti si tratterebbe di dato personale protetto dal GDPR). Occorre quindi fare attenzione alla promiscuità tra i dati personali e quelli aziendali;
- l’attività di ricerca di tali dati non violi altre norme, sfociando nel danneggiamento di siti internet oppure nella violazione di un espresso divieto di web scraping.
A sommesso parere dello scrivente, però, nel silenzio normativo, non è da escludersi che l’utilizzo di dati (seppur aziendali) per finalità diverse da quelle che ne hanno giustificato la pubblicazione possa essere ugualmente sanzionato, costituendo in effetti una sorta di
Si pensi, ad esempio, ai dati conservati nel registro delle imprese custodito dalle camere di commercio: tale iscrizione è imposta dalla legge per garantire a tutti la trasparenza dei dati delle persone giuridiche, a tutela dei cittadini che hanno interesse a sapere, ad esempio, chi è il legale rappresentante di una società, qual è la sua sede legale e se si trova sottoposta a una procedura concorsuale.
La raccolta di tali dati per finalità di analisi di mercato e contatti automatici potrebbe essere ritenuta violativa dello scopo stesso dell’iscrizione nei detti registri.
Un’ultima considerazione merita la questione social network. Come ricordato in precedenza, le informazioni che si condividono sui social non possono essere utilizzate da chiunque. Ciò significa che indirizzi, foto, immagini, ecc. non possono essere impiegati al di fuori delle condizioni previste dalla piattaforma su cui compaiono.
Attesa la ricostruzione normativa e giurisprudenziale sinora effettuata, si ritiene che l’attività indicata nel quesito presenti profili di rischio, anche se non riguarda la raccolta di dati personali.
Indice
La ragione sociale è un dato personale?
In ragione della giurisprudenza del Garante in tema di “promiscuità” dei dati aziendali e personali, deve ritenersi, per analogia, che anche la ragione sociale, laddove contenesse nome e cognome del titolare, del legale rappresentante, dell’amministratore e/o del socio, debba costituire un “dato personale” protetto dal GDPR, in quanto rappresentativo di informazioni che consentono di individuare in modo inequivocabile una persona fisica.
Non a caso, il nominativo indicato nella ragione sociale serve proprio a identificare una certa persona (si pensi al socio accomandatario nella sas).
In effetti, anche se il “Considerando” nr. 14 del GDPR statuisce che «Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto
Con l’ultimo provvedimento citato il Garante è intervenuto palesando l’illegittimità del trattamento dei dati raccolti da una società di fornitura di servizi informatici mediante il modello predisposto sul proprio sito. Infatti, i dati venivano trattati senza richiedere e ottenere dai clienti-persona giuridica il preventivo e specifico consenso all’invio di comunicazioni automatizzate a contenuto promozionale, secondo quanto prescritto dall’articolo 130, comma 1, del Codice Privacy. Tutto ciò per ribadire, ancora una volta, come sulla questione ci sia ancora incertezza.
Anonimizzazione dei dati: cos’è?
Per ciò che concerne l’eventuale anonimizzazione, tale attività sembra essere consentita dal GDPR, tant’è che il “Considerando” nr. 26 recita così: «
L’anonimizzazione è l’operazione di de-identificazione mirata a trasformare irreversibilmente i dati personali in dati assolutamente anonimi. In altre parole, si tratta di una tecnica che rende certamente impossibile l’identificazione dell’utente; di conseguenza, i dati completamente anonimizzati non sono soggetti alle restrizioni sul trattamento dei dati personali ai sensi del Regolamento generale sulla protezione dei dati.
Diversa è la pseudonimizzazione (art. 32 GDPR), operazione che consiste nella de-identificazione reversibile che può ridurre il rischio privacy senza, tuttavia, azzerarlo. Questa tecnica prevede che il trattamento dei dati sia svolto in maniera da non permettere che questi possano essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive e a condizione che tali informazioni siano conservate separatamente e soggette a misure tecniche e organizzative volte a garantire che i dati personali non siano assegnati a una persona fisica identificata o identificabile.