Nel contesto di un contratto di franchising, la questione della legittimazione del franchisor ad accedere ai dati dei clienti che si rivolgono al franchisee ed usufruiscono dei suoi servizi, è delicata e deve essere valutata attentamente alla luce del GDPR.

Per buona memoria ricordiamo che il contratto tra Franchisor e Franchisee è, nella quasi totalità dei casi, un accordo tra due società che sono autonome ed indipendenti tra di loro ed i clienti si avvalgono dei servizi del Franchisee, nei singoli store o punti vendita, per i loro acquisti di beni o servizi.

Il franchisor può avere una base legittima giuridica per accedere ai dati dei clienti del franchisee e trattarli se tale accesso è necessario per l'esecuzione del contratto di franchising. Ad esempio, se il contratto prevede esplicitamente che il franchisor debba monitorare le attività dei franchisee per garantire la qualità del servizio o per motivi specifici di marketing e analisi.

In questo caso è evidente una contitolarità del trattamento e, conseguentemente, della titolarità

Laddove ciò non dovesse essere si rende necessaria una specifica autorizzazione da parte dei clienti (consenso esplicito) o un'altra base giuridica prevista dal GDPR.
Immaginiamo l’ipotesi, oggi frequente, di catene di franchising per la riparazione di elettrodomestici, telefoni o di scarpe che troviamo, ad esempio, all’interno dei supermercati.

Resta ferma, in ogni caso, la titolarità da parte del Franchisee anche a causa del contratto diretto e gli obblighi fiscali che derivano dal contratto con il cliente – interessato. Ma laddove il Franchisor non abbia l’assoluta necessità di accedere a detti dati, per poterne disporre è necessaria una gestione contrattuale ben specifica tra le parti anche per la costruzione di adeguate, chiare ed esaustive informative.

I clienti devono infatti essere chiaramente informati su come i loro dati saranno trattati, compreso il fatto che i dati possono essere condivisi con il franchisor. Questa informativa deve essere fornita al momento della raccolta dei dati da parte del franchisee e deve rispettare i requisiti di trasparenza previsti dal GDPR.
Tutto ciò, peraltro, impone una chiara definizione dei rapporti tra Franchisor e Franchisee al momento della conclusione del loro accordo.

Il contratto di franchising dovrebbe specificare chiaramente le responsabilità e gli obblighi di entrambe le parti riguardo alla gestione dei dati personali e ciò determina l’assunzione del ruolo di titolare o, anche se sembra ipotesi rara, quella di responsabile esterno del trattamento.
In detto contratto dovrà essere quindi stabilito quale dei soggetti ha la possibilità di contattare i clienti per promuovere servizi o altre operazioni di marketing. Anche se agiscono sotto lo stesso brand, i due soggetti sono entità giuridiche diverse.

Approfondisci > Il principio di minimizzazione nel GDPR

Mai come in questo caso i principi di minimizzazione e proporzionalità devono essere valutati e applicati al momento della definizione dei rapporti tra le parti anche al fine, ancora, delle informative.

Il franchisor dovrà infatti limitare l'accesso ai dati solo a quelli strettamente necessari per le finalità legittime previste dal contratto. L'accesso indiscriminato a tutti i dati dei clienti potrebbe essere considerato sproporzionato e non conforme ai principi del GDPR.

Anche ai fini della predisposizione delle misure di sicurezza gli accordi dovranno essere chiari e il Franchisor è chiamato a definire standard minimi e uniformi per tutti i suoi affiliati, IN particolare vengono in mente le norme minime di sicurezza durante il trasferimento tra il franchisee e il franchisor. Questo include misure tecniche e organizzative per prevenire accessi non autorizzati, perdite di dati e altri rischi.

Ricordiamo poi che è il Franchisee a raccogliere il consenso esplicito dei clienti per condividere i loro dati anche con il franchisor, specificando le finalità per le quali i dati saranno utilizzati.

Potrebbe interessarti > Digital Trust: i nuovi valori di un'azienda

In conclusione, il franchisor può essere legittimato ad accedere ai dati dei clienti del franchisee solo se ci sono basi giuridiche solide e chiare per farlo, e a condizione che i clienti siano adeguatamente informati e che siano adottate misure appropriate per proteggere i loro dati. Ad iniziare dai contratti, dalle informative e dalla modulistica. Anche quella interna alle due aziende.

Il GDPR, non ci stancheremo di dirlo, non è solo un antivirus, una buona password e un’informativa copia incolla e, per un’azienda che voglia godere di una efficace Digital trust, è molto di più.