Il GDPR si applica anche ai gruppi societari. In questo articolo, esploreremo come garantire una corretta condivisione dei dati.

Qualsiasi settore produttivo rientra nel campo di applicazione del Regolamento UE n. 2016/679, comunemente noto come GDPR, a condizione che l’azienda tratti dati personali. Questo vale anche per le imprese che operano in forma di gruppo societario, sia a livello nazionale che internazionale.

Il GDPR ha facilitato la condivisione dei dati personali all’interno dell’Unione Europea, consentendo alle multinazionali di trasferire liberamente i dati trattati da uno Stato membro all’altro.

Ma quali sono gli obblighi in caso di gruppi societari nazionali o europei? È sempre possibile la condivisione dei dati? Facciamo chiarezza.

Iniziamo a definire il concetto di “gruppo societario”: si tratta di un insieme di società collegate da un rapporto di controllo esercitato da una società capogruppo, nota come holding. Questo stretto legame di collaborazione richiede uno scambio continuo di informazioni tra le diverse società, per garantire un coordinamento efficace delle attività.

In questo scambio informativo rientrano anche i dati personali, come le banche dati dei dipendenti o gli elenchi clienti.

Per giustificare e legittimare queste esigenze di business, il Regolamento europeo ha introdotto l’istituto dell’accordo di contitolarità del trattamento, noto come joint controller agreement.

L’articolo 26 del GDPR stabilisce che: “Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, sono considerati contitolari del trattamento. Devono stabilire in modo chiaro, attraverso un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi previsti dal presente regolamento, in particolare riguardo all’esercizio dei diritti degli interessati, e le modalità di comunicazione delle informazioni di cui agli articoli 13 e 14, salvo che nella misura in cui le rispettive responsabilità siano stabilite dalla legislazione dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può anche indicare un punto di contatto per gli interessati.”

In questo modo, è possibile legittimare la condivisione dei dati all’interno di un gruppo societario o tra più realtà imprenditoriali che collaborano per raggiungere obiettivi comuni (come nel caso di diverse società sotto la stessa proprietà).

Sarà sufficiente stipulare un accordo tra le società partecipanti che disciplini i trattamenti condivisi all’interno del gruppo. Il contratto dovrà necessariamente contenere:

• Un chiaro riparto delle competenze per i trattamenti condivisi.
• Una regolamentazione condivisa per l’esercizio dei diritti degli interessati.
• L’individuazione dei soggetti responsabili per la comunicazione delle informazioni.

Per garantire la sicurezza dei trattamenti condivisi, è consigliabile stabilire regole comuni semplici da attuare, per mantenere standard e procedure uniformi, specialmente in caso di violazioni (data breach).

Il contenuto essenziale dell’accordo dovrebbe sempre essere accessibile agli interessati.

Infine, è fondamentale che l’informativa fornita agli interessati faccia esplicito riferimento al rapporto di contitolarità del trattamento in caso di dati condivisi, indicando anche a quale soggetto possono essere rivolte le richieste per l’esercizio dei diritti.

Le regole descritte si applicano ai trattamenti condivisi all’interno dell’Unione Europea. È importante prestare attenzione se i membri del gruppo sono situati in paesi al di fuori dell’UE, poiché in questi casi i principi da seguire saranno più rigorosi, come evidenziato negli articoli riguardanti i trasferimenti di dati personali al di fuori dell’Unione.