La cessione dei dati personali a terzi, cioè il trasferimento di interi database ad altri soggetti, è un tipo di trattamento che comporta dei chiari rischi per gli interessati.
Tale ipotesi si realizza non solo nel momento in cui una società vende o cede o trasferisce dati ad altra, ma anche nel caso in cui una società ne acquisisce un'altra (es. a seguito di un fallimento) oppure in ipotesi di successione tra società. La normativa prevede che il titolare del trattamento debba tenere traccia non solo dei flussi interni ma anche di quelli esterni e, in ossequio al principio di accountability, deve poter dimostrare il controllo di tali flussi.
Un primo problema riguarda l'indicazione dei soggetti destinatari. La normativa (art. 15 GDPR) prevede che debbano essere indicati "c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali”. La Corte di Giustizia dell'Unione europea (causa C-154/21, RW vs. Österreichische Post, sentenza del 12 gennaio 2023) ha precisato che in sede di accesso, quindi quando l'interessato esercita i propri diritti nei confronti del titolare, è obbligatorio indicare i destinatari nel dettaglio e non per categorie. Questo perchè sarebbe impossibile per gli interessati al trattamento esercitare i propri diritti se non avessero conoscenza dei soggetti ai quali i dati sono trasferiti. A tal proposito conviene ricordare che l’art. 1, comma 8, della legge n. 5/2018 impone che, in caso di cessione a terzi di dati relativi alle numerazioni telefoniche per finalità promozionali tramite il canale telefonico, il titolare del trattamento deve comunicare agli interessati gli estremi identificativi del soggetto a cui i dati sono trasferiti.
Ovviamente all'interno dell'informativa deve comunque deve essere precisato che i dati potranno o saranno trasferiti a terzi, l'indicazione dei terzi può eventualmente anche avvenire per categorie, nel momento in cui non è ancora stabilito esattamente a quali destinatari i dati potranno essere trasferiti. Ad esempio è pacifico che non è possibile indicare quale sarà il destinatario dei dati in caso di acquisizione della società.
Il secondo aspetto riguarda la base giuridica utilizzabile per il trasferimento. Generalmente tale base può essere individuata sia nel contratto che nel consenso. Quest'ultimo, in particolare, deve essere specifico per il trasferimento e separato da eventuali altri consensi.
In sintesi, secondo il Garante, chi cede dati ad un terzo per, ad esempio, finalità di direct marketing, deve:
- indicare nell'informativa che i dati potranno essere trasferiti a terzi, indicando specificamente la finalità di trattamento;
- indicare nell'informativa per dettaglio i soggetti ai quali i dati potranno essere trasferiti oppure, in alternativa, le categorie economiche o merceologiche di appartenenza degli stessi (ad esempio: “finanza”, “editoria”, “abbigliamento”);
- acquisire un consenso specifico (o individuare la corretta base giuridica) per la cessione a terzi dei dati personali per fini promozionali, il consenso deve essere distinto da quello richiesto dal medesimo cedente per svolgere esso stesso attività promozionale;
- essere in grado di fornire evidenza dei consensi raccolti per la cessione dei dati.
Invece, ai sensi dell'art.14 del GDPR il soggetto terzo che riceve i dati deve informare gli interessati, inviando loro l'informativa:
- entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
- nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato;
- oppure nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
Il soggetto che riceve i dati non dovrà ottenere un nuovo consenso (o individuare una nuova base giuridica), oltre a quello già ottenuto dal cedente, se, nello svolgimento di campagne di direct marketing, intenda avvalersi di strumenti automatizzati (email, sms). In caso contrario dovrà a sua volta raccogliere un nuovo consenso per procedere all’invio di comunicazioni promozionali (es. telefono).
Chi acquisisce una banca dati deve accertarsi che il cedente abbia correttamente informato gli interessati e che ciascun interessato abbia validamente acconsentito al trasferimento del dato personale ed al suo successivo e specifico utilizzo da parte del soggetto che acquisisce i dati (es. a fini di invio di materiale pubblicitario).
In tale contesto il Garante ritiene che la caratteristica essenziale del conferimento del dato è «l'intuitus personae», per cui se il soggetto cambia, il consenso va rinnovato. Occorre precisare, però, che il tribunale di Cagliari (sent. 1569/2017) ha sconfessato tale impostazione, precisando che «tralascia del tutto le finalità per le quali il consenso è stato prestato», che nel caso specifico era la partecipazione ad un programma di ricerca su malattie. Per cui, nel caso specifico ha ritenuto che la società che acquisiva i dati per successione potesse trattare ugualmente i dati senza dover ottenere un nuovo consenso, in considerazione che la finalità perseguita era sempre la medesima.
Infine, la cessione dei dati ai responsabili del trattamento non necessita di alcun consenso.