GDPR, se i miei clienti sono aziende?

Il GDPR, così come il precedente dlgs 196, considera come dato personale qualsiasi informazione riferita ad una persona fisica identificata o identificabile. Restano escluse quindi tutte le informazioni che riguardano le persone giuridiche ovvero le aziende.

Andrebbero analizzate tutte le informazioni che vengono acquisite e che tipo di trattamento viene realizzato. Ad esempio se vengono acquisite informazioni come le abitudini di consumo, sempre in riferimento a persona fisica o se, al contrario, le informazioni vengono solamente acquisite in quanto la persona fisica rappresenta il tramite con l’azienda (di fatto una sorta di voce in rubrica).

Non avendo sufficienti elementi, dalla sola lettura del quesito, per poter formulare una risposta completa, vogliamo comunque specificare quanto segue.

Trattamenti soggetti al GDPR

Un trattamento è qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.

La vostra azienda, così come tutte le altre, dovrebbe censire tali trattamenti, anche ai fini della redazione, se del caso, del Registro dei trattamenti, di cui all’articolo 30 del GDPR.

Questo perché tipicamente esistono alcune attività ordinarie per le quali si configura tipicamente un’operazione di trattamento, tra cui:

• gestione anagrafiche clienti;
• gestione anagrafiche dipendenti;
• gestione anagrafiche fornitori;
• gestione videosorveglianza;
• gestione campagne commerciali e di marketing;
• gestione di un sito web.

Si rammenta infine che, ad onor del vero, molti obblighi erano già previsti per le aziende, in relazione ai temi della privacy, già dal precedente decreto legislativo 196.

Risposta di Noemi Ricci