La protezione dei dati personali nelle reti di franchising

di Alessio Molinarolli – Avvocato

 

Il concetto stesso di rete implica un collegamento e, in modo praticamente inevitabile, una qualche forma di comunicazione. Non che le reti di franchising e la rete internet siano la stessa cosa, ma la struttura di una rete, di qualunque rete, si può ridurre, con buona approssimazione, a quest’idea basilare.

Se si accetta questo presupposto, poi, ne va in qualche modo accettato un corollario: ogni forma di comunicazione richiede la presenza di informazioni, di dati che si muovono da una parte all’altra, da un soggetto all’altro.

Quando si parla di informazioni, peraltro, è possibile riferirsi a quelle, si potrebbe dire, pure e semplici, come un dato di mercato, una ricetta o lo stesso know-how, oppure ad altre, più particolari, di valore forse maggiore: i dati personali, vale a dire quelle informazioni che si riferiscono ad una persona identificata o identificabile.

Sul valore occorre intendersi: che i dati personali siano il nuovo petrolio è affermazione talmente diffusa e condivisa che risulterebbe persino noioso argomentare ulteriormente. Di sicuro, poi, le reti di franchising non sono immuni al “fascino” (e all’efficacia) di campagne di lead, del marketing diretto, magari abbinato a più o meno sofisticate tecniche di profilazione, delle tessere punti o fedeltà, di tutto ciò che, in breve, trova il proprio fondamento nella raccolta e nell’utilizzo di informazioni sulle persone, potenziali clienti più facilmente e comodamente raggiungibili grazie a queste tecniche e all’uso della tecnologia.

Se tutto questo sembra logico, desta non poco stupore, quanto meno a chi scrive, che non si sia sviluppato un particolare dibattito intorno al tema del trattamento dei dati personali, cioè, tanto per capirsi, alla vecchia privacy, all’interno delle reti di franchising, neppure dopo l’entrato in vigore del Regolamento UE 2016/679 (l’ormai famoso – o famosa – GDPR)

E’ evidente che in queste reti non solo ci si trova di fronte ad innumerevoli trattamenti di dati personali ma si assiste anche a caratteristiche davvero peculiari, se non uniche, di questi trattamenti dovute proprio alla presenza di più soggetti, collegati “in rete”, che comunicano tra loro e, sempre più spesso, contemporaneamente con i “clienti”.

I diritti degli interessati e le “domande chiave”

L’affermazione relativa al dibattito poco sviluppato in materia di franchising e protezione dei dati merita una precisazione.

Si è affrontato cioè il problema solo dal punto di vista tecnico-informatico e del sistema di gestione.

In molti casi, anche fuori dall’orbita del franchising, si è ritenuto infatti che la questione fosse di pertinenza esclusivamente tecnico informatica, commettendo così, a parere di chi scrive, un errore grave e grossolano: tralasciare l’aspetto giuridico, quello, per dirla in modo netto, che regola il confine tra lecito e illecito.

Non è detto, infatti, che un’impresa dotata dei migliori strumenti di protezione (tecnologica) delle proprie reti, stia trattando i dati personali in modo lecito (e questo senza ovviamente nulla togliere alla fondamentale importanza del profilo della sicurezza informatica).

Per comprendere questo è necessario considerare che la disciplina in questione non fa proprio un concetto ampio di “privacy”, intesa come qualcosa di simile alla riservatezza, ma consacra un principio forse più realistico, quello della protezione dei dati personali.

Anche qui, occorre fare attenzione alle parole utilizzate, perché la protezione di cui si parla non è sinonimo di difesa ma di un diritto dell’interessato – della persona cioè alla quale si riferiscono i dati – al controllo degli stessi, a sapere cioè che cosa viene fatto degli stessi, da chi e con quali modalità.

Ora, questo “diritto”, che si può manifestare attraverso una serie di specifiche “facoltà” (come il diritto di accesso, di rettifica, di opposizione eccetera) implica che l’interessato possa in primo luogo ricevere risposta alcune semplici domande: “Chi tratta i miei dati? Perché? Su quale base giuridica? Con quali strumenti? Per quanto tempo? A chi vengono comunicati miei dati?”.  

Ovviamente a queste domande occorrerebbe dare una risposta “interna” alle imprese, in un processo di preventiva autoanalisi, prima che la mancanza di risposta (entro il termine di trenta giorni) o una risposta il cui contenuto non sia conforme alla legge, generi pesanti sanzioni pecuniarie o si traduca addirittura in illeciti penali.

La definizione dei ruoli privacy e delle basi giuridiche: un buon inizio

Tra i soggetti coinvolti nelle operazioni di trattamento spicca la figura del Titolare. Spesso si travisa l’espressione, pensando alla titolarità come a qualcosa di equivalente alla proprietà, credendo di poter stabilire in un contratto chi è il titolare e chi non lo è e finendo per cadere prigionieri di un set di convinzioni molto lontane dalle previsioni legali.

Primo punto. Il Titolare è chi decide le finalità di e le modalità di trattamento. Non si è proprietari di nulla, perché non c’è nulla di cui essere proprietari, dal lato GDPR. Non solo. Il titolare è colui che effettivamente decide le finalità e le modalità del trattamento, indipendentemente da cosa si stabilisca in contratti di vario genere.

Per comprendere questo aspetto è fondamentale passare al secondo punto: ogni trattamento deve avere una adeguata base giuridica. Fino a ieri per ogni attività era prevista la firma di un consenso; dal 2018 (anno di entrata in vigore del Regolamento) il consenso rappresenta una base giuridica residuale, da utilizzare solo quando non ve ne siano altre disponibili (senza contare che la gestione dei consensi comporta molti, anzi moltissimi, oneri pratici in capo al Titolare).

In ambito privato la base giuridica più corretta è il più delle volte quella che riguarda “l’esecuzione di un contratto”.

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *