Lo European Data Protection Board – EDPB ha pubblicato le Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects. Si tratta di linee guida in tema di base giuridica contrattuale in relazione a certi trattamenti di dati personali nell’ambito della fornitura di servizi online.
Non ci sono sensazionali novità, tuttavia trovo che siano utili come bussola per gestire alcuni aspetti di protezione dei dati personali in relazione all’offerta di servizi online, principalmente a livello di informativa privacy ma anche di raccolta del consenso e impostazione dei flussi di dati. Vediamo nello specifico di che cosa trattano.
Indice degli argomenti
Servizi online: il focus delle linee guida EDPB
Il tema principale del documento posto in consultazione pubblica nella primavera 2019 è quello dei limiti da porre alla base giuridica dell’articolo 6, primo comma lettera b) del GDPR e cioè quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Essendo i servizi forniti online, occorre che il Titolare presti maggiore attenzione agli effetti che ogni trattamento ha sugli interessati, specialmente ove si tratti di categorie necessitanti maggior tutela, come i minori. È in questo
senso che l’art.5 GDPR deve essere interpretato : per poter pienamente garantire la liceità e la trasparenza del trattamento occorre valutare anche quali effetti lo stesso abbia sugli interessati, tenendo in considerazione in special modo le possibili conseguenze avverse che dallo stesso possono scaturire. Ciò assume maggiore rilevanza ove si consideri che nei contratti per servizi online si assiste molto spesso ad
una raccolta di dati sproporzionata rispetto alle finalità, anche grazie alle tecnologie attualmente in uso.
Fermo restando l’applicazione di tutti i principi fondamentali di cui all’articolo 5 del GDPR e le norme in materia di contratti (anche a distanza), le linee guida invitano a un’analisi delle varie finalità delle attività di trattamento in modo da selezionare la base giuridica più adatta e non cedere alla tentazione di far passare tutto o troppo come attività necessaria all’esecuzione del contratto con l’interessato.
Per l’applicazione della base giuridica di cui alla lettera b) dell’articolo 6, primo comma GDPR, bisogna innanzitutto valutare se, in relazione a una determinata finalità, il trattamento sia necessario e cioè, in altre parole, se vi siano alternative meno intrusive e realistiche per raggiungere l’obiettivo. La semplice menzione del trattamento in un contratto non è sufficiente a far rientrare lo stesso nelle finalità di cui all’art. 6 c. 1 lett. B. Dall’altro canto, tuttavia, il trattamento potrebbe essere oggettivamente necessario
anche se non se ne fa specifica menzione nel contratto. Ad ogni modo, il Titolare non può prescindere dagli obblighi di trasparenza di cui è onerato nei confronti
dell’interessato. La base giuridica di cui alla lettera b può applicarsi anche nel caso in cui l’interessato abbia avanzato delle richieste finalizzate all’eventuale conclusione del contratto. In questo caso, la finalità consisterà nel rispondere alle domande poste dall’interessato.
Un trattamento utile all’esecuzione del contratto, ma non necessario, non può trovare la sua ragion d’essere in questa norma. Tuttavia questo non significa che l’attività di trattamento non possa essere legittimamente effettuata. Significa invece che bisognerà trovare una base giuridica diversa e comportarsi di conseguenza (per esempio, in caso di necessità di un consenso specifico esso dovrà rispettare i requisiti previsti dall’articolo 7 ed eventualmente dell’articolo 8 oppure, in caso di legittimo interesse, dovrà essere svolta una valutazione di bilanciamento tra interessi del titolare e diritti e libertà fondamentali dell’interessato).
Ai fini della valutazione di necessità del trattamento per finalità contrattuali, le linee guida suggeriscono alcune domande che possono essere di aiuto: per esempio è utile interrogarsi sulle caratteristiche distintive del servizio online, sugli elementi essenziali del contratto, sulle reciproche aspettative delle parti contrattuali, su come il servizio viene pubblicizzato.
Ovviamente tutte queste considerazioni dovranno in qualche modo riflettersi in modo chiaro nell’informativa privacy. Spesso infatti si leggono informative dove l’interessato non riesce a ricollegare ad ogni finalità la base giuridica corrispondente.
Esempi e rapporto tra basi giuridiche differenti
Un esempio concreto, a dire il vero abbastanza semplice, di quanto sopra indicato è quello relativo al trattamento dell’indirizzo dell’interessato per la consegna di un bene a domicilio. Ove il bene venga ritirato presto un punto di consegna, appare evidente che l’informazione circa l’indirizzo di casa non sia più necessaria a fini contrattuali.
Ciò non significa però che il titolare non possa o debba conservarla per finalità ulteriori (per esempio obblighi di legge). A seconda dei casi, nell’ambito del medesimo contratto online, il titolare deve abbinare la base giuridica più adatta alla singola porzione di trattamento. Questo, oltre a una tutela per l’interessato, si traduce per il titolare in una garanzia di legittimità e corretto sfruttamento dei dati in linea con il GDPR.
Le linee guida affrontano anche il tema della risoluzione del contratto e del diritto alla cancellazione. Se da una parte, venendo meno il contratto, la base giuridica della lettera b) è chiaramente molto più difficile da applicare (per esempio ove vi fossero ancora pagamenti in sospeso), determinate attività di trattamento (e.g. conservazione) possono essere ancora perfettamente legittime sulla base di obblighi di legge.
E in questo caso, un’eventuale richiesta di cancellazione ai sensi dell’art. 17 comma 1 GDPR potrebbe non trovare seguito, ai sensi del terzo comma lettera b) e, sulla base di un legittimo interesse del titolare, anche lettera e). Le line guida offrono altri esempi, sempre piuttosto standard, circa il rapporto tra attività precontrattuali e basi giuridiche alternative al consenso (per esempio in tema di obblighi di adeguata verifica dei clienti da parte di intermediari finanziari regolati).
Quattro finalità delle linee guida EDPB sui servizi online
Lo European Data Protection Board, nell’ultima parte del documento, si occupa di quattro finalità “evergreen” collegate all’esecuzione dei contratti di servizi online: il miglioramento dei servizi stessi, la prevenzione di attività fraudolente, la pubblicità comportamentale e la personalizzazione dei contenuti.
Per ciascuna di queste le linee guida offrono ragionevoli spunti di riflessione per permettere di valutare se possano ricadere sotto l’ombrello della base giuridica contrattuale o meno. Se il miglioramento dei servizi e la prevenzione di attività fraudolente possono essere agilmente collegati a un legittimo interesse del titolare (la prevenzione delle attività fraudolente in determinati casi può anche essere un obbligo di legge), la pubblicità comportamentale difficilmente potrà essere legittima in mancanza di un consenso.
Di particolare interesse l’apertura circa la personalizzazione dei contenuti che in determinate circostanze può (la cautela dello European Data Protection Board fa sì che quel “may” sia sottolineato ben due volte) essere considerata necessaria ai fini dell’esecuzione di obbligazioni contrattuali.
Si pensi per esempio al caso di un servizio di aggregazione di news online basato sugli interessi dell’utente. D’altro canto, una profilazione non collegata alla richiesta del servizio in quanto tale, molto difficilmente potrebbe fondarsi sulla base giuridica contrattuale di cui alla lettera b) dell’articolo 6, primo comma del GDPR. Questo ovviamente ha un impatto pratico evidente perché si traduce nell’obbligo di considerare se e come richiedere un consenso.
Conclusioni
In sintesi, il testo in consultazione fino al prossimo 24 maggio è un utile esercizio di analisi dei data flow e delle finalità delle attività di trattamento in ambito online che deve però avere una fondamentale appendice: la messa in atto di tutte quelle azioni previste dalla legge e richieste dal principio di accountability al fine di dare sostanza alle analisi svolte, tutelare in modo concreto gli interessati e procedere serenamente con il proprio business massimizzando le opportunità di sfruttamento dei dati personali nei limiti di legge.
Vedremo se all’esito della consultazione pubblica, lo European Data Protection Board avrà modificato e in che misura il testo attualmente disponibile.
