Servizi online e contratti: le implicazioni per la privacy

22/05/2019
di Yuri Monti

Il tema privacy riguarda anche i servizi online e i contratti con i consumatori. Di conseguenza la portata trasversale della data protection trova concreta traduzione nelle Linee Guida 2/2019 in materia di offerta di servizi online agli interessati, adottate lo scorso 9 aprile dal Comitato Europeo per la Protezione dei Dati (EDPB) e messe a disposizione per la pubblica consultazione prevista dalla normativa.

Il contratto come base per la liceità del trattamento

Contratti servizi online

La riflessione del Comitato prende le mosse dalla lettera del dettato normativo del Regolamento Europeo 2016/679 (GDPR), ed in particolare nelle previsioni di cui all’art. 6. In tale norma, nello specifico, vengono individuate in maniera tassativa quelle che sono le basi giuridiche su cui fondare la liceità di qualsiasi trattamento di dati personali (ad eccezione di quelli previsti agli artt. 9 e 10 GDPR ovvero quelli che riguardano
categorie particolari di dati personali e quelli relativi a condanne penali e reati). Tra le condizioni fondanti, una delle più ricorrenti nelle quotidiane dinamiche commerciali è sicuramente quella prevista al comma 1 lett. b) del citato art. 6, laddove si prevede che il trattamento possa essere considerato lecito quando si configuri come “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.

Con le Linee Guida in esame (in particolare nella Parte 2 delle stesse), l’EDPB intende analizzare e fissare in maniera netta quali siano i confini applicativi dell’art. 6, c. 1, lett. b), in relazione ad un ambito decisamente attuale ed in costante sviluppo come quello dei servizi online cui abbia accesso l’interessato. Le considerazioni del Board, tuttavia, sono di ampio respiro e ben si possono prestare a riflessioni di carattere generale, andando oltre il peculiare tema degli online service.

Trattamento previsto o funzionale?

Il punto focale della questione è rappresentato dall’analisi della cosiddetta necessità” del trattamento. Secondo il Comitato, il Titolare deve sempre interrogarsi su come il trattamento che intende effettuare si collochi rispetto al contesto contrattuale – o precontrattuale – che si andrà a definire: il concetto di “necessario”, al fine dell’esecuzione del contratto o delle misure che conducono alla definizione di esso, non coincide con quanto “previsto” dai termini dell’accordo di cui è parte l’interessato, ma con quanto “funzionale” alle finalità ultime del contratto. In altri termini, il semplice fatto che il rapporto giuridica prescriva la raccolta e/o il conferimento di determinati dati personali, non determina in automatico la liceità del trattamento di tali dati. Pertanto, oltre alla validità del contratto, il Titolare deve sempre poter dimostrare – sempre nell’ottica di accountability prescritta dal GDPR – che senza i dati personali richiesti all’interessato all’interno di uno specifico accordo, l’oggetto di quest’ultimo non potrebbe realizzarsi. Le Linee Guida parlano di una “oggettiva necessità” del trattamento, aggiungendo una specifica, quella dell’“oggettività”, che non può prescindere, evidentemente, da una fase valutativa preliminare da parte del Titolare.

I contratti non sono tutti uguali ai fini privacy

L’applicazione dell’art. 6 GDPR diventa quindi molto stringente nella lettura data dall’EDPB, essendo richiesta una profonda analisi sul ricorso alla base giuridica di cui a comma 1, lett. b) rispetto al mero dato della presenza di un accordo contrattuale con l’interessato. Inevitabilmente, quindi, diventa essenziale valutare la struttura del contratto stesso: la corretta individuazione di quali siano i servizi offerti all’interno dello stesso, la determinazione di quali tipologie di dati personali debbano essere necessariamente trattate, la predisposizione di contenuti in grado di rendere pienamente consapevole l’interessato sul trattamento.

La Parte 3 del documento è infine centralizzata sul complesso e variegato rapporto intercorrente tra la piena applicabilità della base giuridica ex c.1, lett. b) art. 6 e le possibili configurazioni dei servizi online. Ed in tutti i casi portati ad esempio dal Board, il trattamento di dati effettuato trova difficilmente il fondamento di liceità nel contratto: finalità quali il miglioramento di servizi, la prevenzione di frodi, la personalizzazione di contenuti o i servizi di pubblicità comportamentale non rientrano nel menzionato concetto di “oggettività; si tratterebbe, infatti, di prestazioni che coinvolgerebbero dati personali dell’interessato in via collaterale a fronte del nucleo centrale costituito dal contratto, rispetto ai quali troverebbero applicazione altri base giuridiche tra quelle previste all’art. 6 GDPR (ad esempio, il consenso dell’interessato o l’adempimento ad un obbligo legale).

Ancora più attenzione, quindi, deve essere posta nel delicato equilibrio tra offerta di servizi online – nei contratti con i consumatori e non solo- e attenzione alla privacy da parte del Titolare del trattamento, soprattutto nell’individuazione della base di liceità del trattamento. Le differenti “anime” che compongono queste particolari tipologie contrattuali comportano molto spesso la concorrenza di più condizioni tra quelle previste dalla normativa.

Riproduzione riservata ©

ALTRE NEWS

GDPR, ci siamo. Valentina Frediani ripercorre i temi chiave della nuova privacy europea

Non c’è ormai azienda europea che non senta il 25 maggio come una data importante per il futuro prossimo della propria operatività. E’ il D-day… Leggi Tutto

Diritto di espressione e diritto alla reputazione. Quale equilibrio online?

L’Internet di oggi sta assurgendo sempre più a luogo di democrazia estrema dove ogni utente, mediante l’esternazione delle proprie idee è capace di modificare ed… Leggi Tutto

Nuovo CAD: occasione per fare chiarezza

L’annuncio dell’avvenuta approvazione da parte del Consiglio dei Ministri, in esame preliminare, di 11 decreti attuativi della cd. Riforma della PA (L. 124/15), intervenuta il… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form