Privacy e gruppi societari: quali adempimenti sono necessari?
Il GDPR coinvolge anche i gruppi societari: vediamo come assicurare una corretta condivisione dei dati.
Qualsiasi settore produttivo rientra nell’ambito applicativo del Reg. UE n. 2016/679 (meglio conosciuto come GDPR): è sufficiente che l’azienda tratti dati personali. Non sono escluse le imprese che operano congiuntamente sotto forma di gruppo societario, siano esse nazionali, o internazionali.
Il GDPR ha sicuramente facilitato la condivisione dei dati personali all’interno dell’Unione Europea. Attualmente, le società multinazionali possono trasferire liberamente i dati personali trattati da uno Stato membro, ad un altro.
Quali adempimenti sono necessari in caso di gruppi societari nazionali, o europei? È sempre possibile la condivisione dei dati trattati? Facciamo il punto della situazione.
Partiamo dal principio. Con il termine “gruppo societario” si intende un insieme di società tra loro collegate in virtù di un rapporto di controllo da parte di una società capogruppo: la c.d. holding.
Lo stretto rapporto di collaborazione implica necessariamente lo scambio continuo di informazioni da una società, all’altra, per garantire un costante, ed efficiente, coordinamento delle attività.
In questo constante flusso informativo rientrano appieno anche i dati personali condivisi all’interno del gruppo. Si pensi alle banche dati dei dipendenti, o all’elenco clienti.
Per fare fronte, e legittimare, queste costanti esigenze di business il Regolamento europeo ha introdotto l’istituto dell’accordo di contitolarità del trattamento, ovvero joint controller agreement.
L’art. 26 GDPR prevede, infatti, che: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
Ecco, quindi, come legittimare la condivisione dei dati all’interno di un gruppo societario, o di più realtà imprenditoriali che collaborano costantemente per il raggiungimento delle medesime finalità (si pensi a più società di proprietà del medesimo soggetto).
Sarà sufficiente un accordo tra le società partecipanti che disciplini i trattamenti condivisi all’interno del gruppo. Il contratto dovrà obbligatoriamente prevedere:
• un preciso riparto delle competenze per i trattamenti condivisi;
• una regolamentazione condivisa per l’esercizio dei diritti degli interessati;
• l’individuazione dei soggetti competenti a comunicare l’informativa.
Per quanto riguarda la sicurezza dei trattamenti condivisi consigliamo di predisporre delle regole comuni di facile attuazione per garantire i medesimi standards e procedure, specialmente in caso di violazioni (data breach).
Il contenuto essenziale dell’accordo dovrà sempre essere messo a disposizione degli interessati.
Precisiamo, infine, che nell’informativa fornita agli interessati si dovrà sempre fare espresso riferimento al rapporto di contitolarità del trattamento, in caso di dati condivisi, e a quale soggetto potranno essere inoltrare le richieste di esercizio dei diritti degli interessati.
Le regole che abbiamo appena descritto si applicano per i trattamenti condivisi all’interno dell’Unione Europea. Attenzione, quindi, se i vari componenti del gruppo sono stabiliti in stati extra UE: in questi casi i principi da applicare saranno più stringenti, come abbiamo precisato negli articoli dedicati ai trasferimenti di dati personali al di fuori dell’Unione.