La problematica del trattamento dati personali, oltre ad incidere sulla quotidianità di ogni azienda deve essere tenuta in considerazione anche in caso di operazioni complesse, che vadano oltre l’ordinaria gestione. Nell’ipotesi di fusioni e cessioni di azienda, ad esempio, si deve tenere presente che oltre a tutti i vari asset, vengono cedute anche le singole posizioni giuridiche, ivi compresi i consensi al trattamento dei dati personali di clienti, fornitori consulenti, dipendenti. In tutte le fattispecie citate è evidente il cambiamento del soggetto titolare del trattamento dati. Ogni contratto contiene, come dati personali, quantomeno i riferimenti anagrafici.

Da un lato si potrebbe obiettare che i rapporti giuridici, ed il consenso al trattamento lo è in quanto il consenso è un atto giuridico, seguono l’azienda in un rapporto senza soluzione di continuità, pertanto nulla dovrebbe essere fatto nei confronti di coloro che avevano prestato il consenso dati all’azienda A che viene ceduta all’azienda B o incorporata nella stessa. Dall’altro deve tenersi presente che in ognuna di questa ipotesi, la comunicazione dei dati costituisce attività di trattamento e, si noti, in ogni caso cambia la figura del titolare e la nuova figura giuridica potrebbe prevedere nuove e diverse tipologie di trattamento dati per cui è prevista una diversa tipologia di consenso. La fattispecie si trova disciplinata all’interno dell’art. 14 GDPR e può essere considerata come il tipico caso di raccolta dati non effettuata presso l’interessato. Tutto ciò rende obbligatorio per il nuovo titolare lo svolgimento di almeno due attività che sono la comunicazione del nuovo soggetto che tratterà i dati personali e l’indicazione dei nuovi dati di contatto per l’esercizio dei diritti dell’interessato.

Ciò è sufficiente quando il nuovo soggetto svolge la stessa attività di quello che aveva ottenuto il consenso in precedenza e non esegue altre attività di trattamento. Tuttavia, nelle ipotesi in cui il nuovo soggetto intenda utilizzare i dati per altre tipologie di trattamento, anche solo ai fini di una mailing list, si rende necessaria la prestazione di un nuovo e specifico consenso che, ricordiamo, ai sensi della norma non deve essere quello del silenzio assenso. 

È pertanto intuibile quanto possa essere gravosa l’attività di fornire adeguate informative da parte di un’azienda che ne acquisisce una anche più piccola, tenuto conto che l’art. 14 del GDPR impone tempi decisamente stretti per poter utilizzare i dati personali. Difficile pensare che dipendenti o fornitori possano obiettare al trasferimento dei loro dati al nuovo soggetto, ma per il pacchetto clienti potrebbero presentarsi problematiche logistiche non indifferenti quando si giunga a parlare di numeri importanti. In tal senso il Garante, nella vigenza della precedente normativa, ha ritenuto sufficiente, nelle ipotesi in cui le comunicazioni individuali richiedessero un impegno, e relativi costi, sproporzionati rispetto al diritto tutelato, la pubblicazione della notizia sulle pagine web delle aziende interessate, oltre ad una comunicazione individuale alla prima occasione utile per indicare i dati del nuovo titolare del Trattamento.

Anche il GDPR all’art. 14 C. 5 Lett. B, sembra allinearsi su questo principio, ponendo comunque a carico e alla discrezione di ogni azienda e titolare l’opportunità di avvalersi di questa facoltà di esonero, ovvero fornire informative con modalità e contenuti che saranno ritenuti opportuni. In ogni caso le attività minime di informazione sul nuovo titolare del trattamento sono atti assolutamente dovuti da parte di quest’ultimo che, ovviamente, dovrà iscrivere le operazioni nel registro dei trattamenti ed eseguire una valutazione di impatto possibilmente sulla base di quella già eseguita dal precedente titolare e, in ogni caso, accertarsi che il precedente titolare fosse compliant con la normativa. Non è semplice fantasia ipotizzare che l’azienda definita A, cedente o incorporata, non avesse a suo tempo svolto alcuna attività per ottenere i dovuti consensi al trattamento. Si corre il concreto rischio di acquisire un’azienda e trovarci nell’impossibilità, o quantomeno con gravi difficoltà, all’utilizzo dei dati personali ottenuti.