Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Servizi online, linee guida EDPB per il trattamento dei dati

L’EDPB ha posto in consultazione pubblica le linee guida pensate per aiutare a gestire in modo corretto la protezione dei dati personali in relazione ai servizi online: raccolta del consenso, informativa, gestione dei dati. La fase di consultazione del documento si concluderà il 24 maggio

18 Apr 2019
M

Gianluigi Marino

Partner, Head of Data Protection practice at Osborne Clarke


A partire dal 12 aprile e fino al 24 maggio 2019, lo European Data Protection Board – EDPB ha posto in consultazione pubblica le Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects. Si tratta di linee guida in tema di base giuridica contrattuale in relazione a certi trattamenti di dati personali nell’ambito della fornitura di servizi online.

Non ci sono sensazionali novità, tuttavia trovo che siano utili come bussola per gestire alcuni aspetti di protezione dei dati personali in relazione all’offerta di servizi online, principalmente a livello di informativa privacy ma anche di raccolta del consenso e impostazione dei flussi di dati. Vediamo nello specifico di che cosa trattano.

Servizi online: il focus delle linee guida EDPB

Il tema principale del documento in consultazione pubblica è quello dei limiti da porre alla base giuridica dell’articolo 6, primo comma lettera b) del GDPR e cioè quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Fermo restando l’applicazione di tutti i principi fondamentali di cui all’articolo 5 del GDPR e le norme in materia di contratti (anche a distanza), le linee guida invitano a un’analisi delle varie finalità delle attività di trattamento in modo da selezionare la base giuridica più adatta e non cedere alla tentazione di far passare tutto o troppo come attività necessaria all’esecuzione del contratto con l’interessato.

Per l’applicazione della base giuridica di cui alla lettera b) dell’articolo 6, primo comma GDPR, bisogna innanzitutto valutare se, in relazione a una determinata finalità, il trattamento sia necessario e cioè, in altre parole, se vi siano alternative meno intrusive e realistiche per raggiungere l’obiettivo.

Un trattamento utile all’esecuzione del contratto, ma non necessario, non può trovare la sua ragion d’essere in questa norma. Tuttavia questo non significa che l’attività di trattamento non possa essere legittimamente effettuata. Significa invece che bisognerà trovare una base giuridica diversa e comportarsi di conseguenza (per esempio, in caso di necessità di un consenso specifico esso dovrà rispettare i requisiti previsti dall’articolo 7 ed eventualmente dell’articolo 8 oppure, in caso di legittimo interesse, dovrà essere svolta una valutazione di bilanciamento tra interessi del titolare e diritti e libertà fondamentali dell’interessato).

Ai fini della valutazione di necessità del trattamento per finalità contrattuali, le linee guida suggeriscono alcune domande che possono essere di aiuto: per esempio è utile interrogarsi sulle caratteristiche distintive del servizio online, sugli elementi essenziali del contratto, sulle reciproche aspettative delle parti contrattuali, su come il servizio viene pubblicizzato.

Ovviamente tutte queste considerazioni dovranno in qualche modo riflettersi in modo chiaro nell’informativa privacy. Spesso infatti si leggono informative dove l’interessato non riesce a ricollegare ad ogni finalità la base giuridica corrispondente.

Esempi e rapporto tra basi giuridiche differenti

Un esempio concreto, a dire il vero abbastanza semplice, di quanto sopra indicato è quello relativo al trattamento dell’indirizzo dell’interessato per la consegna di un bene a domicilio. Ove il bene venga ritirato presto un punto di consegna, appare evidente che l’informazione circa l’indirizzo di casa non sia più necessaria a fini contrattuali.

Ciò non significa però che il titolare non possa o debba conservarla per finalità ulteriori (per esempio obblighi di legge). A seconda dei casi, nell’ambito del medesimo contratto online, il titolare deve abbinare la base giuridica più adatta alla singola porzione di trattamento. Questo, oltre a una tutela per l’interessato, si traduce per il titolare in una garanzia di legittimità e corretto sfruttamento dei dati in linea con il GDPR.

Le linee guida affrontano anche il tema della risoluzione del contratto e del diritto alla cancellazione. Se da una parte, venendo meno il contratto, la base giuridica della lettera b) è chiaramente molto più difficile da applicare (per esempio ove vi fossero ancora pagamenti in sospeso), determinate attività di trattamento (e.g. conservazione) possono essere ancora perfettamente legittime sulla base di obblighi di legge.

E in questo caso, un’eventuale richiesta di cancellazione ai sensi dell’art. 17 comma 1 GDPR potrebbe non trovare seguito, ai sensi del terzo comma lettera b) e, sulla base di un legittimo interesse del titolare, anche lettera e). Le line guida offrono altri esempi, sempre piuttosto standard, circa il rapporto tra attività precontrattuali e basi giuridiche alternative al consenso (per esempio in tema di obblighi di adeguata verifica dei clienti da parte di intermediari finanziari regolati).

Quattro finalità delle linee guida EDPB sui servizi online

Lo European Data Protection Board, nell’ultima parte del documento, si occupa di quattro finalità “evergreen” collegate all’esecuzione dei contratti di servizi online: il miglioramento dei servizi stessi, la prevenzione di attività fraudolente, la pubblicità comportamentale e la personalizzazione dei contenuti.

Per ciascuna di queste le linee guida offrono ragionevoli spunti di riflessione per permettere di valutare se possano ricadere sotto l’ombrello della base giuridica contrattuale o meno. Se il miglioramento dei servizi e la prevenzione di attività fraudolente possono essere agilmente collegati a un legittimo interesse del titolare (la prevenzione delle attività fraudolente in determinati casi può anche essere un obbligo di legge), la pubblicità comportamentale difficilmente potrà essere legittima in mancanza di un consenso.

Di particolare interesse l’apertura circa la personalizzazione dei contenuti che in determinate circostanze può (la cautela dello European Data Protection Board fa sì che quel “may” sia sottolineato ben due volte) essere considerata necessaria ai fini dell’esecuzione di obbligazioni contrattuali.

Si pensi per esempio al caso di un servizio di aggregazione di news online basato sugli interessi dell’utente. D’altro canto, una profilazione non collegata alla richiesta del servizio in quanto tale, molto difficilmente potrebbe fondarsi sulla base giuridica contrattuale di cui alla lettera b) dell’articolo 6, primo comma del GDPR. Questo ovviamente ha un impatto pratico evidente perché si traduce nell’obbligo di considerare se e come richiedere un consenso.

Conclusioni

In sintesi, il testo in consultazione fino al prossimo 24 maggio è un utile esercizio di analisi dei data flow e delle finalità delle attività di trattamento in ambito online che deve però avere una fondamentale appendice: la messa in atto di tutte quelle azioni previste dalla legge e richieste dal principio di accountability al fine di dare sostanza alle analisi svolte, tutelare in modo concreto gli interessati e procedere serenamente con il proprio business massimizzando le opportunità di sfruttamento dei dati personali nei limiti di legge.

Vedremo se all’esito della consultazione pubblica, lo European Data Protection Board avrà modificato e in che misura il testo attualmente disponibile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5