Servizi online e contratti: le implicazioni per la privacy

Il tema privacy riguarda anche i servizi online e i contratti con i consumatori. Di conseguenza la portata trasversale della data protection trova concreta traduzione nelle Linee Guida 2/2019 in materia di offerta di servizi online agli interessati, adottate lo scorso 9 aprile dal Comitato Europeo per la Protezione dei Dati (EDPB) e messe a disposizione per la pubblica consultazione prevista dalla normativa.

Il contratto come base per la liceità del trattamento

La riflessione del Comitato prende le mosse dalla lettera del dettato normativo del Regolamento Europeo 2016/679 (GDPR), ed in particolare nelle previsioni di cui all’art. 6. In tale norma, nello specifico, vengono individuate in maniera tassativa quelle che sono le basi giuridiche su cui fondare la liceità di qualsiasi trattamento di dati personali (ad eccezione di quelli previsti agli artt. 9 e 10 GDPR ovvero quelli che riguardano
categorie particolari di dati personali e quelli relativi a condanne penali e reati). Tra le condizioni fondanti, una delle più ricorrenti nelle quotidiane dinamiche commerciali è sicuramente quella prevista al comma 1 lett. b) del citato art. 6, laddove si prevede che il trattamento possa essere considerato lecito quando si configuri come “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.

Con le Linee Guida in esame (in particolare nella Parte 2 delle stesse), l’EDPB intende analizzare e fissare in maniera netta quali siano i confini applicativi dell’art. 6, c. 1, lett. b), in relazione ad un ambito decisamente attuale ed in costante sviluppo come quello dei servizi online cui abbia accesso l’interessato. Le considerazioni del Board, tuttavia, sono di ampio respiro e ben si possono prestare a riflessioni di carattere generale, andando oltre il peculiare tema degli online service.

Trattamento previsto o funzionale?

Il punto focale della questione è rappresentato dall’analisi della cosiddetta “necessità” del trattamento. Secondo il Comitato, il Titolare deve sempre interrogarsi su come il trattamento che intende effettuare si collochi rispetto al contesto contrattuale – o precontrattuale – che si andrà a definire: il concetto di “necessario”, al fine dell’esecuzione del contratto o delle misure che conducono alla definizione di esso, non coincide con quanto “previsto” dai termini dell’accordo di cui è parte l’interessato, ma con quanto “funzionale” alle finalità ultime del contratto. In altri termini, il semplice fatto che il rapporto giuridica prescriva la raccolta e/o il conferimento di determinati dati personali, non determina in automatico la liceità del trattamento di tali dati. Pertanto, oltre alla validità del contratto, il Titolare deve sempre poter dimostrare – sempre nell’ottica di accountability prescritta dal GDPR – che senza i dati personali richiesti all’interessato all’interno di uno specifico accordo, l’oggetto di quest’ultimo non potrebbe realizzarsi. Le Linee Guida parlano di una “oggettiva necessità” del trattamento, aggiungendo una specifica, quella dell’“oggettività”, che non può prescindere, evidentemente, da una fase valutativa preliminare da parte del Titolare.

I contratti non sono tutti uguali ai fini privacy

L’applicazione dell’art. 6 GDPR diventa quindi molto stringente nella lettura data dall’EDPB, essendo richiesta una profonda analisi sul ricorso alla base giuridica di cui a comma 1, lett. b) rispetto al mero dato della presenza di un accordo contrattuale con l’interessato. Inevitabilmente, quindi, diventa essenziale valutare la struttura del contratto stesso: la corretta individuazione di quali siano i servizi offerti all’interno dello stesso, la determinazione di quali tipologie di dati personali debbano essere necessariamente trattate, la predisposizione di contenuti in grado di rendere pienamente consapevole l’interessato sul trattamento.

La Parte 3 del documento è infine centralizzata sul complesso e variegato rapporto intercorrente tra la piena applicabilità della base giuridica ex c.1, lett. b) art. 6 e le possibili configurazioni dei servizi online. Ed in tutti i casi portati ad esempio dal Board, il trattamento di dati effettuato trova difficilmente il fondamento di liceità nel contratto: finalità quali il miglioramento di servizi, la prevenzione di frodi, la personalizzazione di contenuti o i servizi di pubblicità comportamentale non rientrano nel menzionato concetto di “oggettività”; si tratterebbe, infatti, di prestazioni che coinvolgerebbero dati personali dell’interessato in via collaterale a fronte del nucleo centrale costituito dal contratto, rispetto ai quali troverebbero applicazione altri base giuridiche tra quelle previste all’art. 6 GDPR (ad esempio, il consenso dell’interessato o l’adempimento ad un obbligo legale).

Ancora più attenzione, quindi, deve essere posta nel delicato equilibrio tra offerta di servizi online – nei contratti con i consumatori e non solo- e attenzione alla privacy da parte del Titolare del trattamento, soprattutto nell’individuazione della base di liceità del trattamento. Le differenti “anime” che compongono queste particolari tipologie contrattuali comportano molto spesso la concorrenza di più condizioni tra quelle previste dalla normativa.