La cessione dei dati personali a terzi, cioè il trasferimento di interi database ad altri soggetti, è un tipo di trattamento che comporta dei chiari rischi per gli interessati.
Tale ipotesi si realizza non solo nel momento in cui una società vende dati ad altra, ma anche nel caso in cui una società ne acquisisce un'altra (es. a seguito di un fallimento) o le succede.
Il trasferimento del database da parte dell'acquirente è ammissibile se la società cedente ha informato gli interessati al trattamento e acquisito uno specifico consenso alla cessione. Tale consenso deve essere separato dagli altri, con l’indicazione chiara delle categorie (economiche o merceologiche, es. finanza, editoria) di soggetti cui vengono ceduti i dati. La società acquirente dovrà, quindi, rilasciare agli interessati l’informativa sulla privacy prima di trattare i dati (es. inviare comunicazioni commerciali). In questa informativa dovrà essere precisata anche l'origine dei dati, in modo che gli interessati possano rivolgersi anche alla società cedente per esercitare i loro diritti.
Se, invece, i soggetti ai quali possono essere ceduti i dati sono indicati singolarmente, e l'informativa della società cedente presenta tutti gli elementi previsti dall'art. 13 del Codice privacy (con riferimento al trattamento che sarà effettuato dal soggetto che acquisice i dati), non è necessario che il soggetto che acquisice i dati, a seguito della cessione, debba rilasciare un’ulteriore informativa agli interessati, potendo utilizzare i dati senza problemi (ma fornendo un idoneo recapito per l'esercizio dei diritti dell'interessato).
In tutti gli altri casi la società acquirente dovrà rilasciare l'apposita informativa e ottenere uno specifico e libero consenso per l’uso dei dati, in assenza del quale il trattamento deve ritenersi illecito. Quindi, anche in caso di successione di aziende occorre verificare se vi è informativa dettagliata e consenso specifico. Il solo fatto che un'azienda succeda ad altra non è motivo sufficiente per utilizzare i dati.
In sintesi, chi acquisisce una banca dati deve accertarsi che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario. Inoltre, al momento in cui registra i dati deve inviare, a tutti gli interessati, un messaggio di informativa che, in particolare, evidenzi il l'indirizzo fisico e di posta elettronica dove inviare comunicazioni per esercitare i propri diritti.
In tale contesto il Garante ritiene che la caratteristica essenziale del conferimento del dato è «l'intuitus personae», per cui se il soggetto cambia, il consenso va rinnovato. Occorre precisare, però, che il tribunale di Cagliari (sent. 1569/2017) ha sconfessato tale impostazione, ritenendo che «tralascia del tutto le finalità per le quali il consenso è stato prestato», che nel caso specifico era la partecipazione ad un programma di ricerca su malattie. Per cui, nel caso specifico ha ritenuto che la società che acquisiva i dati per successione potesse trattare ugualmente i dati senza dover ottenere un nuovo consenso, in considerazione che la finalità perseguita era sempre la medesima.
Ovviamente l'interessato può sempre esercitare i suoi diritti.
Comunque, i consensi richiesti per la comunicazioni automatizzate non si estendono alla comunicazioni tradizionali e viceversa. E per la profilazione occorre uno specifico ed ulteriore consenso.
Infine, la cessione dei dati ai responsabili del trattamento non necessita di consenso.
