Il regolamento europeo chiarisce indubitabilmente che tutela i dati personali delle sole persone fisiche, con esclusione quindi delle persone giuridiche, degli enti e delle associazioni.
In tal senso soccorre l'art. 1 del regolamento, il quale precisa che "Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”.
In aggiunta l'art. 4 definisce il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica...".
Infine, il Considerando 14 è chiaro nell'affermare: "È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto".
Dalle norme emerge chiaramente che solo una persona fisica può essere considerata interessato al trattamento, mentre non sono considerabili tali né le persone giuridiche, né gli enti e nemmeno le associazioni. Il Considerando citato non sostiene che alcune informazioni relative a persone giuridiche non siano dati personali, ma indica chiaramente che "nome, forma e dati di contatto" possono anche includere dati personali ma tali dati non sono protetti dal GDPR.
Eccezioni
Esiste una zona grigia di dati afferenti ad una persona giuridica, per i quali sorgono dei dubbi.
Un caso particolare si ha quando il nome di una persona fisica (ad esempio il titolare) è compreso nel nome della persona giuridica. Si tratta dell'esempio ripreso proprio dal Considerando 14, per cui possiamo ritenere che non si applichi il regolamento.
Nel caso di dati raccolti da un modulo di contatto, invece, potremo avere sia dati afferenti a persone fisiche che a persone giuridiche. Anche qui si dovrebbe rientrare nelle ipotesi indicate dal Considerando 14. Il Working Party art. 29, nel parere 4/2007, si è concentrato sull'ipotesi in cui determinate informazioni contengano dati personali. Come ad esempio nel caso dell'email aziendale normalmente utilizzata da un dipendente dell'azienda. In questa ipotesi il dato si può considerare afferente alla persona fisica e quindi soggetta alla tutela di cui al regolamento.
Il WP29 invita ad utilizzare i criteri di "contenuto", "scopo" e "risultato" per stabilire se le informazioni personali si riferiscono alla persona giuridica o meno. Nel caso del modulo, infatti, è ovvio che lo "scopo" del campo "nome" è quello di raccogliere i dati del dipendente, e così allo stesso modo per gli altri campi. Appare quindi inverosimile non sottoporre alla tutela del GDPR questi dati.
In molti casi i trattamenti automatizzati di dati personali non distinguono tra dati relativi a persone fisiche e quelli relativi a persone giuridiche. In tal modo finiscono per aggiungere ai profili delle persone fisiche dati che sono, invece, afferenti alla persona giuridica. In questi casi conviene trattare sempre l'insieme dei dati come fossero dati personali relativi a persone fisiche.
Normativa italiana
Mentre il testo originario del Codice Privacy includeva nella definizione di dati personale "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione", con il Decreto Legge 6/12/2011 n. 201 (decreto Salva Italia del governo Monti) l'Italia ha da tempo recepito il principio che le imprese, gli enti e le associazioni non possono più essere considerati interessati al trattamento. La norma esclude, quindi, l'applicazione delle disposizioni relativa al trattamento dei dati personali qualora siano riferibili a soggetti nell'esercizio dell'attività di impresa: "In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”. In tal modo la normativa italiana si è allineata alla normativa europea.
Con la riforma del Codice Privacy del 2018, il testo non include più disposizioni in tal senso, essendo sufficiente quanto previsto dal GDPR sul punto.
Conseguenze
Lo scopo del legislatore europeo, e quello italiano nel momento di recepire le indicazioni europee, è di semplificare la gestione dei dati nell'ambito dei rapporti tra imprese. In tal senso, infatti, i dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritti sui suoi dati.
Infatti, la persona giuridica non potrà esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione. Ai dati delle persone giuridiche, inoltre, non si applicheranno i principi stabiliti dal regolamento europeo. Ciò non vuol dire che una persona giuridica non possa subire dei danni a seguito di un trattamento di dati, ma semplicemente che se dovesse accadere dovrà intentare azione di risarcimento del danno ai sensi delle norme del codice civile (art. 2043 c.c.) senza potersi avvaleri dei vantaggi della disciplina di cui al GDPR (art. 2050 c.c.).