Linee Guida dell’EDPB: esercizio di stile o strumento d’aiuto alla corretta applicazione del GDPR - Cyber Security 360

LA RIFLESSIONE

Linee Guida dell’EDPB: esercizio di stile o strumento d’aiuto alla corretta applicazione del GDPR

Le Linee Guida dell’EDPB, così come le raccomandazioni e le migliori prassi, dovrebbero avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per la migliore attuazione alla normativa sulla protezione dei dati personali, ma non sempre è così. Proviamo a fare un po’ di chiarezza

19 Nov 2020
D
Luciano Delli Veneri

DPO, consulente compliance organizzativa e privacy, Privacy Officer certificato TUV

M
Gloria Marcoccio

DPO, consulente security&privacy, Privacy Officer certificato TUV, ISO27001 Lead Auditor


Negli ultimi mesi l’European Data Protection Board (EDPB) ha pubblicato ben tre Linee Guida su temi di estrema rilevanza poiché riguardano:

  1. la relazione tra il Regolamento 2016/679/UE (nel seguito “GDPR”) e la Direttiva 2015/2366/EU c.d. PSD2;
  2. i ruoli di Titolare, CO-Titolare e Responsabile del trattamento;
  3. il rapporto tra i diversi soggetti che agiscono nel mondo dei social e della promozione on-line.

Si tratta davvero di ambiti molto importanti che presentano numerosi aspetti che richiederebbero una visione che riesca non solo a coordinare differenti normative con rilevanti ambiti di sovrapposizione ma che, ponendosi nell’ottica dei destinatari (Titolari, Co-Titolari e Responsabili), sia in grado di costituire un ausilio concreto e pragmatico.

Linee Guida dell’EDPB: quale dovrebbe essere il loro ruolo

D’altra parte, se guardiamo ai compiti dell’EDPB ex art. 70 del GDPR in diverse lettere del comma 1 viene riportata la seguente previsione: “pubblica linee guida, raccomandazioni e migliori prassi”.

Ora senza voler fare l’esegesi della terminologia utilizzata sembra potersi evincere che le linee guida, le raccomandazioni e le migliori prassi dovrebbero, sostanzialmente, avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per dare la migliore attuazione alla normativa sulla protezione dei dati personali.

Purtroppo, a parere di chi scrive, sembra che in luogo di tali obiettivi, le Linee Guida contribuiscano a rendere ancora più confusa e complessa l’applicazione della normativa anche perché, in diversi casi, sembrano contenere delle “prescrizioni” ulteriori rispetto a quelle del GDPR, andando quasi a costituire una fonte di diritto secondaria, anziché preoccuparsi di chiarire quelle già rinvenibili nella normativa.

EDPB e sentenze della Corte di Giustizia Europea: manca un approccio critico

Altro aspetto estremamente importante che, in particolare nelle ultime due linee guida poste in consultazione emerge, è quello relativo allo svilimento del ruolo che l’EDPB dovrebbe svolgere come faro illuminante anche nei confronti delle altre Istituzioni comunitarie: ci riferiamo in particolare alla posizione assunta nei confronti delle sentenze della Corte di Giustizia Europea (CJEU) ed alle valutazioni da quest’ultima espresse rispetto alle quali ci si sarebbe aspettato un approccio critico frutto della specifica competenza sui temi della protezione dei dati personali.

E invece nulla di tutto questo è accaduto tant’è che nella seconda e terza delle Linee Guida in parola l’EDPB ha fatto proprie le valutazioni della CJEU che nella Sentenza Jehovah’s Witnesses, C-25/17 ha ritenuto che l’Associazione religiosa dei Testimoni di Geova e le singole persone fisiche che, avendo aderito a questa religione, agiscano per diffondere il loro credo e fare proselitismo, debbano essere considerati “Co-Titolari del trattamento” relativamente al trattamento dei dati dei soggetti che vengono contattati, molte volte con il porta a porta e con postazioni site nelle strade delle nostre città.

Una tale valutazione appare davvero bizzarra poiché mette sullo stesso piano l’Associazione religiosa e il singolo credente che si attiva per fare proseliti andando a stabilire che entrambi definiscono le “finalità e gli strumenti” con i quali vengono raccolti e trattati i dati: crediamo che sia davvero difficile ritenere tale statuizione della CJEU condivisibile poiché non solo non rappresenta la realtà oggettiva che vede l’Associazione religiosa dei Testimoni di Geova, nel suo complesso e attraverso la propria struttura gerarchica, essere l’unico soggetto che determina le finalità e le modalità di trattamento lasciando alle singole persone fisiche che svolgono l’attività di proselitismo il ruolo di “autorizzato al trattamento” e questo a voler tacere della circostanza che nelle fasi di proselitismo, sia porta a porta che con le postazioni nelle strade, appare davvero difficile ritenere che vi sia un vero e proprio trattamento di dati personali che, eventualmente, potrebbe realizzarsi solo successivamente nella fase di pre-adesione/adesione al credo religioso.

L’EDPB ha, quindi, non solo ritenuto di non dover esprimere una propria posizione rispetto a quanto affermato dalla CJEU, ma ha fatto propria tale indicazione richiamandola ripetutamente nelle citate linee guida come un importante riferimento.

Il caso della linea guida sul targeting dei social media

In un altro caso, sentenza CJEU 210/16 Wirtschaftsakademie, la Corte specifica che “la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «Titolare del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46” e anche che “il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network” e che solo in determinate circostanze sia possibile considerare che l’amministratore di una pagina su Facebook possa essere considerato “Titolare del trattamento” e ciò quando, ad esempio consente a Facebook di installare sulla propria pagina i cookies di quest’ultima ovvero relativamente all’acceso alla propria pagina di utenti che non siano anche registrati sulla piattaforma di Facebook.

Anche con riferimento a questa sentenza l’EDPB non solo si è limitato a condividerla ma ha anche eliminato l’inciso che “solo in determinate circostanze” il gestore della pagina Facebook possa essere considerato “Co-Titolare” del trattamento.

Vale la pena di sottolineare che, vigente la Direttiva 95/46, che sostanzialmente individuava solo in capo al “Titolare del trattamento” l’onere del risarcimento per i danni cagionati all’Interessato, la Corte considera che la presenza di Co-Titolari possa accrescere la possibilità di un ristoro dei danni subiti, valutazione che appare non tenere in debita considerazione che se i distinti soggetti agiscono quali autonomi “Titolari del trattamento” le tutele e le prerogative degli interessati mantengono lo stesso livello di garanzia.

Queste valutazioni hanno condotto ad affermare che, si veda l’esempio 1) della Linea Guida sul targeting dei social media, il soggetto che “compra” una campagna pubblicitaria (Targeter) per il semplice fatto che indichi le caratteristiche dei destinatari ai quali intende di far pervenire il suo messaggio pubblicitario debba essere considerato “Co-Titolare” del trattamento con il Social Media che è il soggetto che ha raccolto i dati in qualità di Titolare del trattamento e l’eventuale consenso al loro utilizzo per finalità di marketing diretto.

Una tale posizione non tiene in nessuna considerazione non solo la complessità che tale previsione impone dovendosi predisporre accordi di Co-Titolarità anche per una campagna one-shoot, con un aggravio di attività per la quale non se ne comprendono gli eventuali benefici in capo all’Interessato.

Infatti, l’accordo di Co-Titolarità da solo non sarebbe sufficiente alla compliance poiché, almeno, dovrebbe essere predisposta una Informativa ex art. 13 e 14 del GDPR che andrebbe data all’Interessato al momento della raccolta dei dati mentre, in un caso del genere, avverrebbe successivamente e, in molti casi, a notevole distanza di tempo.

Inoltre, ci si domanda quando dovrebbe essere fornita tale Informativa che modifica le previsioni inizialmente comunicate in fase di raccolta dei dati personali.

Tale valutazione risulta, a parere di chi scrive, del tutto non condivisibile anche tenendo conto dell’eventuale trasmissione al Targeter, da parte del Social Media, di un report “statistico” contenente i numeri dei destinatari nonché, ad esempio, l’indicazione del numero dei soggetti che hanno “letto” la comunicazione: non vi è nessuna comunicazione di dati personali in un report statistico volto a dare evidenza dell’efficacia della campagna di comunicazione.

Il semplice fatto che il Targeter abbia indicato le caratteristiche dei soggetti ai quali intende far pervenire la propria comunicazione promozionale non può essere considerato come la definizione delle finalità e, tantomeno, delle modalità con le quali viene effettuato il trattamento che continuano ad essere quelle indicate dal social media nell’informativa fornita all’Interessato al momento della raccolta dei dati personali.

Inoltre, relativamente all’esempio 1), sembra essere chiaro che la finalità del trattamento è il “marketing diretto” mentre la scelta dei destinatari verso i quali indirizzare la comunicazione possa essere, più correttamente, considerata come una attività strumentale al perseguimento della citata finalità e non una ulteriore finalità.

Altri aspetti che sollevano numerosi interrogativi sono contenuti nei punti da 44 a 46 delle Linee Guida in commento laddove sembra ricavarsi il possibile impiego, come base giuridica per le attività indicate nell’esempio 1) del “legittimo interesse” di cui all’art. 6 c1 lett. f) del GDPR.

Questa indicazione appare non del tutto in linea con le prescrizioni contenute nelle Linee Guida sui “cookies” pubblicata dall’EDPB a maggio di quest’anno. In quelle Linee Guida, infatti, viene indicato come la base legale per l’utilizzo dei cookies con finalità di marketing diretto sia solo ed esclusivamente, il consenso “esplicito ed informato”: come è possibile avere un consenso esplicito ed informato nel caso in cui, dopo aver raccolto i dati ed il consenso, sottoscrivo un accordo di Co-Titolarità per effettuare una campagna di marketing diretto per conto di un soggetto distinto dal quello che lo aveva inizialmente raccolto?

Le Linee Guida EDPB e il rischio di indicazioni inapplicabili

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

A tal riguardo, peraltro, si riporta il testo del punto 69 delle Linee Guida che, ancora una volta, fornisce indicazioni che risultano del tutto inapplicabili “The EDPB also recalls that in a case where the consent sought is to be relied upon by multiple (joint) controllers or if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organisations should all be named”: come è possibile indicare nell’Informativa il nome di un soggetto con il quale stabilirò un rapporto commerciale per una campagna di marketing diretto solo successivamente.

Sono interrogativi ai quali le Linee Guida non forniscono riscontro limitandosi, purtroppo, a dare indicazioni di fatto inapplicabili.

Negli esempi 2) e 3) delle Linee Guida sul targeting e social media l’EDPB si focalizza sul fatto che nel momento in cui la banca “comunica” i dati al Social Media inizia la condizione di “Co-Titolarità” tra i due soggetti ma non si preoccupa di fornire indicazioni circa le basi legali per rendere tale “comunicazione” legittima ai sensi del GDPR, aspetto che sarebbe molto più rilevante, visti i flussi di dati di internet, e che ha ampi margini di indeterminatezza che sarebbe molto utile chiarire.

Per quanto riguarda le Linee Guida su Titolare, Co-Titolare e Responsabile valgono le stese riflessioni già sopra riportate alle quali ne va sicuramente aggiunta una di carattere generale che riguarda proprio l’esigenza di fornire utili esemplificazioni al fine di aiutare alla corretta valutazione del ruolo “agito” nell’ambito del trattamento dei dati personali, esigenza estremamente sentita ma alla quale sono state forniti davvero pochi riscontri.

L’EDPB ritiene che “The concepts of controller and processor are functional” e anche “The concepts of controller and processor are also autonomous concepts in the sense that, although external legal sources can help identifying who is a controller, it should be interpreted mainly according to EU data protection law” ma nel documento non sviluppano in modo pratico tali affermazioni.

Venendo agli esempi relativi al ruolo di Titolare presenti nel documento non si capisce perché nell’Example: Bank payments si considera il ruolo della Banca che fornisce i servizi bancari a favore di una Società Alfa per il pagamento degli stipendi dei dipendenti quello di Titolare mentre, avendo a riferimento l’Example: Market research, se la stessa Società Alfa decide di utilizzare i servizi della Società Beta per una “ricerca di mercato” fornendo una lista di domande e ricevendo solo un report complessivo debba essere considerata Titolare e la Società Beta designata Responsabile del trattamento senza alcuna valutazione delle caratteristiche del servizio in parola.

Ed infatti se la configurazione Alfa-Titolare e Beta Responsabile può essere corretta nel caso in cui l’analisi di mercato riguardi i Clienti di Alfa, che quindi fornisce oltre alle indicazioni sui temi da analizzare anche la lista dei soggetti da intervistare, non appare condivisibile quando la Società Beta contatta un panel che potrebbe aver precedentemente selezionato e i cui dati personali acquisiti, quindi, nella veste di Titolare del trattamento.

Relativamente alla sezione delle Linee Guida dedicate alla Co-Titolarità si confermano i dubbi già sopra espressi circa l’approccio che vede l’EDPB, partendo dalle decisioni della CJEU commentate, considerare applicabile tale modello in una numerosa casistica che in molti casi si fa davvero fatica a condividere.

In particolare relativamente all’Example: Headhunters appare davvero poco condivisibile che l’Headhunter e la società che commissiona la ricerca di personale debbano essere considerati Co-Titolari nel momento in cui, nella conduzione della ricerca, l’Headhunter, che utilizza un proprio DB costituito da CV raccolti in qualità di Titolare procedere ad elaborare anche i CV ricevuti direttamente dalla società che ha commissionato la ricerca: a parte la problematicità già sopra evidenziata relativamente ai CV raccolti dall’Headhunter sulla base di una propria informativa quale Titolare del trattamento che richiederebbe, quindi, il rilascio di un aggiornamento dell’informativa in precedenza prestata resta il fatto che tale impostazione creerebbe una proliferazione di accordi di Co-Titolarità “necessari” alla gestione di ogni singola ricerca di personale senza che da tale modello possa derivarne alcun beneficio concreto per il Candidato e, nemmeno, per la protezione dei dati personali.

Quando le Linee Guida dell’EDPB vanno oltre il dettato del GDPR

Per quanto riguarda, poi, la sezione delle Linee Guida dedicata al Responsabile del trattamento sembra potersi confermare che l’EDPB in luogo di perseguire il fine di offrire chiarimenti ed indicazioni esplicative atte ad indirizzare correttamente le operatività di questi ultimi, intende utilizzare tale strumento per formulare ulteriori e più stringenti prescrizioni andando ben oltre quello che è il dettato dell’art. 28 del GDPR.

Innanzitutto l’EDPB non sembra voler tenere in alcuna considerazione la realtà fattuale del contesto nel quale la normativa deve essere calata laddove, in modo abbastanza semplicistico, afferma che “the imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law, nor can it discharge the controller from its data protection obligations” poiché è davvero poco accettabile che, pur consapevoli “that the contract and its detailed terms of business are prepared by the service provider rather than by the controller” si scarichi sullo “small controller” l’onere di farsi carico di “obbligare” il proprio interlocutore, in molti casi soggetti con un elevato potere economico, ad accettare modifiche agli Atti di designazione a Responsabile del trattamento da questi ultimi predisposti.

Per contro sarebbe, invece, auspicabile che la Commissione Europea e le DPA nazionali, con il supporto dell’EDPB, definiscano le Standard Contractual Cluses previste dai commi 7 e 8 dell’art. 28 proprio al fine di ribilanciare i differenti pesi specifici dei soggetti.

Appare poi un inutile aggravio la previsione che oltre a dover sottoscrivere un atto formale per regolare la designazione a Responsabile del trattamento che contenga tutte le indicazioni e prescrizioni dell’art. 28 del GDPR venga richiesto di allegare anche procedure, la descrizione delle misure di sicurezza proposte dal Responsabile, il dettaglio delle procedure che regolano l’assistenza verso il Titolare nella gestione delle richieste degli Interessa eccetera.

Peraltro, viene anche sottolineato come si debba anche tener conto del contesto, della tipologia dei dati trattati, del rischio relativo e, aggiungiamo, anche delle caratteristiche del Titolare e/o del Responsabile anche dal punto di vista economico, ma di indicazioni concrete a tal riguardo non ve ne è traccia.

Invece, sembra che si voglia anche mettere in dubbio una delle significative novità introdotte dal GDPR che ha equiparato il Titolare ed il Responsabile dal punto di vista della “accountability” e di conseguenza delle responsabilità connesse al proprio operato, quando da una parte si afferma che Titolare e Responsabile hanno degli obblighi “autonomi ed individuali” che discendono dalle prescrizioni dell’art. 32 salvo poi affermare che “The contract needs to include or reference information as to the security measures to be adopted, an obligation on the processor to obtain the controller’s approval before making changes, and a regular review of the security measures so as to ensure their appropriateness with regard to risks, which may evolve over time” e questo dopo avere affermato “the requirement that the processor itself adopts adequate security measures, where the processing operations of the processor fall within the scope of the GDPR, they remain two distinct obligations, since one refers to the processor’s own measures and the other refers to the controller’s”, il tutto con l’unico risultato di rendere confusi anche quegli aspetti del GDPR che sembravano essere sufficientemente chiari e condivisi.

La posizione dell’EDPB sulla Direttiva PSD2

Concludiamo queste nostre riflessioni sulle Linee Guida relative all’interworking tra il GDPR e la Direttiva 2015/2366/EU (nel seguito “PSD2”) che, dopo la consultazione, dovrebbero essere quasi pronte per esser pubblicate.

Vale la pena di partire da una risposta che a luglio 2018 l’EDPB aveva fornito sul tema della PSD2 ad una richiesta di una deputata del Parlamento Europeo che segnalava come vi fossero dubbi interpretativi circa il “consenso”, più volte richiamato nella PSD2 come condizione imprescindibile per dare correttamente avvio ad un pagamento elettronico, ed il consenso di cui all’art. 6 c. 1 lett. a) del GDPR quale base giuridica per il trattamento dei dati personali.

Nel formulare il riscontro il Board aveva, giustamente, chiarito come si trattasse di due piani distinti: il primo riguardava la conclusione di un contratto ed aveva lo scopo di conseguire la consapevolezza del soggetto che effettuava la transazione, come richiesto dall’art. 94 (2) della PSD2, mentre il consenso del GDPR è una delle basi giuridiche sulla quali può poggiare il trattamento dei dati personali e, nell’ambito di una transazione economica, quindi di fatto nell’ambito dell’esecuzione di un “contratto”, è questa la base giuridica per il trattamento dei dati personali (art. 6 c. 1 lett. b)).

Nelle Linee Guida in commento l’EDPB, anche alla luce delle Linee Guida 2/2019, riaffronta il tema della base giuridica del trattamento in ambito servizi di pagamento elettronici sottolineando l’esigenza che vi sia una attenta valutazione delle finalità perseguite evidenziando come sia imprescindibile che il Titolare garantisca che il trattamento sia “‘Necessary for performance’ clearly requires something more than a contractual clause”.

Questo richiamo ricorre in numerosi passaggi del documento quasi a testimoniare che l’EDPB ritenga il servizio attraverso il quale un soggetto richiede al proprio fornitore di strumenti di pagamento elettronico, non possa essere sempre considerato un “contratto”, ad esecuzione immediata, con il quale viene dato seguito, appunto, ad un ordine di pagamento spingendosi ad affermare che potrebbe non essere valido nemmeno “for taking relevant pre-contractual steps at the request of the data subject”: davvero una simile posizione appare non condivisibile e, soprattutto, foriera di dubbi applicativi sulla corretta scelta della base giuridica che, sarebbe auspicabile, le Linee Guida contribuissero ad indirizzare nel modo più semplice e corretto.

Paradossale appare, poi, la posizione pilatesca espressa dall’EDPB che, circa l’applicabilità dell’art. 6 c .4 del GDPR relativamente alle finalità di trattamento che discendono in capo agli AISP (Account Information Services Provider) o ai PISP (Payment Initation Services Providers) dalla Direttiva 2015/849/UE ai fini del contrasto delle attività di riciclaggio e di finanziamento del terrorismo, ci informa come “Note that a thorough examination of the question whether the anti-money laundering directive meets the standard of Art. 6 (4) GDPR falls outside of the scope of this document”!

Appare, inoltre, davvero poco comprensibile che “the EDPB highlights that the payment service user must be able to choose whether or not to use the service and cannot be forced to do so”: in che modo il PISP, che riceve un ordine di pagamento da parte del payment service user potrebbe forzalo ad effettuare una transazione visto che il suo intervento avviene a valle della libera decisione dell’user di comprare un prodotto o un servizio, o di effettuare un pagamento, al solo fine di consentire il trasferimento di una somma a favore di un terzo.

Ancora meno comprensibile l’enfasi che l’EDPB pone sulla figura del destinatario di un pagamento, il c.d. Silent Party, e sul relativo trattamento dei dati personali dedicando all’argomento una serie di riflessioni che davvero si fa fatica a condividere.

Qual è la differenza tra un pagamento effettuato presso lo sportello fisico di un Istituto Bancario nel quale il Cliente dispone un bonifico nei confronti di un soggetto e quello realizzato mediante un PISP relativamente al trattamento dei dati personali del destinatario del pagamento?

Come mai tale attenzione emerge solo oggi visto che i servizi bancari datano al 1400 e tale aspetto non è stato sino ad oggi ritenuto rilevante ai sensi della direttiva 96/45/UE?

Perché il PISP dovrebbe invocare il proprio “legittimo interesse” quale base giuridica per dare seguito ad una “richiesta di pagamento” effettuata dal payment service user: il PISP si limita a dare esecuzione a quanto gli è stato richiesto sulla base di un “contratto” che, attraverso la richiesta di transazione formulata dall’user si è impegnato ad eseguire.

Anche gli aspetti relativi alla “eventuale” presenza di dati particolari ricavabili più o meno direttamente dalle transazioni e alla necessità di garantire il rispetto delle prescrizioni ex art. 9 del GDPR sembra dimostrare poca dimestichezza sul funzionamento del “servizio” al quale ci si riferisce.

È davvero difficile comprendere come a fronte di una richiesta del payment service user di procedere ad effettuare un pagamento e, tenuto conto del contesto nel quale questo avviene che spazia dall’utilizzo di un POS presso un punto vendita “fisico” ad una transazione completamente virtuale collegata ad un acquisto effettuato su di un sito di e-commerce e che vede, in ambedue i casi, l’intervento del PISP come soggetto esterno alla transazione commerciale con il solo ruolo di procedere al trasferimento di denaro dall’acquirente verso il venditore, questi sia tenuto a raccogliere un consenso al trattamento dei dati particolari eventualmente e, in ogni caso, solo indirettamente rinvenibili nella transazione.

Per poter avere contezza della tipologia dei dati personali coinvolti nella transazione il PISP dovrebbe effettuare delle analisi di dettaglio sulle caratteristiche dei beni acquistati per i quali interviene come soggetto che garantisce il pagamento.

Paradossalmente il PISP, seguendo le indicazioni delle Linee Giuda, viene spinto a dover raccogliere ed elaborare una quantità di dati indispensabile a poter valutare la presenza di dati particolari: questa indicazione appare quantomeno essere non del tutto in linea con i principi di “privacy by design e by default” poiché tali dati aggiuntivi non sarebbero indispensabili ad effettuare il trattamento richiesto ai fini del perfezionamento della transazione.

In una tale ipotesi il PISP dovrebbe analizzare il contenuto descrittivo della transazione, ove questo fosse presente, per valutare se da tali informazioni sia inferibile che questa ha ad oggetto dati personali particolari.

Nella realtà l’intervento del PISP si limita, nel caso del POS fisico, alla lettura della banda magnetica della carta di pagamento ed all’associazione con il PIN, mentre nelle transazioni on-line al payment service user viene presentata un form dove inserire i dati dello strumento di pagamento e il PISP riceve, di norma, solo tali informazioni.

È vero che in funzione del punto fisico di presenza del POS ovvero del sito di e-commerce, si possa indirettamente inferire su una potenziale presenza di dati particolari, es. se acquisto presso un sexy-shop fisico o on-line, ma che in tale circostanza debba essere il PISP a farsi carico della raccolta del consenso appare davvero non solo impraticabile ma senza senso.

Tali trattamenti sarebbero da considerare “strumentali” ad una richiesta dell’Interessato – payment service user – il quale volontariamente, coscientemente e liberamente decide di procedere all’acquisto e, di conseguenza, anche nel caso in cui vi fosse la presenza di dati particolari, ”il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, come recita l’art. 9 c. 2 lett. e) del GDPR ma una tale valutazione richiederebbe, da parte dell’EDPB, una pragmaticità che, purtroppo, non sembra esser rinvenibile nelle Linee Guida.

Un’ultima necessaria considerazione riguarda il Silent Party per il quale, anche rispetto al trattamento dei dati particolari, l’EDPB ha ritenuto indispensabile fornire adeguati caveat circa la necessità di raccogliere un eventuale consenso salvo non preoccuparsi in alcun modo di valutare se sia davvero possibile dare applicazione ad una simile previsione.

Peraltro, non si capisce il perché sarebbe necessario un consenso se chi riceve il pagamento è il “proprietario-gestore” del sito di e-commerce dove è avvenuta la transazione e, quindi, è ben consapevole di cosa ha venduto mentre, nel caso di una transazione avente a destinatario un partito politico, un sindacato, una associazione religiosa o culturale, non si capisce il senso del riferimento al trattamento di dati particolari visto la loro connotazione univoca.

Conclusioni

Dalla lettura dei documenti in commento si rileva una significativa distanza tra l’EDPB ed il contesto reale e concreto delle esigenze dei destinatari che sono chiamati a dare puntuale applicazione al GDPR.

Manca la capacità di cogliere il reale meccanismo di funzionamento che sottende il trattamento dei dati personali nel sempre più complesso mondo dei big data che ci circonda.

Al tempo stesso le Linee Guida che, nelle indicazioni rinvenibili nei Considerando e nell’art. 70 del GDPR, dovrebbero svolgere una funzione di aiuto e ausilio per i diversi soggetti (Titolari, Co-Titolari e Responsabili) che a vario titolo effettuano il trattamento dei dati personali nella corretta applicazione della normativa, non solo non sembrano conseguire tale scopo ma, al contrario, creano ulteriori incertezze introducendo vincoli e indicazioni, fornendo esemplificazioni e valutazioni, che non sembrano essere rinvenibili nella normativa che dovrebbero contribuire a far applicare in modo corretto.

Inoltre, anche il meccanismo di funzionamento della “consultazione pubblica” appare carente poiché non si capisce come mai, a seguito delle consultazioni, i documenti finali mantengano, sostanzialmente, gli stessi contenuti iniziali nonostante in molti casi, e chi scrive ha in diverse occasioni inviato contributi, le tematiche affrontate presentavano aspetti rilevanti che hanno sicuramente stimolato i diversi soggetti interessati.

A tal riguardo, proprio nell’ottica della trasparenza tante volte citata nei documenti in parola, sarebbe auspicabile che l’EDPB fornisse visibilità sui contenuti e commenti ricevuti e spiegasse le ragioni del loro mancato accoglimento.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5