Fonte: Tonucci News dd. 13.01.20120
Ultimato il processo di consultazione pubblica, il Comitato Europeo per la Protezione dei Dati (il “Comitato”) ha adottato la versione definitiva delle Linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’art. 6, c.1, lett. b) del Regolamento UE 2016/679 (il “Regolamento”) nel contesto della fornitura di servizi online.
IL FATTO:
L’art. 70 del Regolamento prevede, tra i compiti assegnati al Comitato, quello di pubblicare “linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente” del Regolamento negli Stati membri. Nell’ambito di tale prerogativa, il Comitato ha predisposto ed emanato le proprie linee guida relative all’ambito di applicazione della base giuridica contrattuale al trattamento dei dati personali effettuato nel contesto dei contratti conclusi dagli interessati per usufruire di servizi online.
Le Linee guida, al momento disponibili unicamente in lingua inglese, si occupano di specificare in quali casi il trattamento sarà effettivamente da considerarsi “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” e potrà dunque ritenersi legittimo anche in assenza del consenso dell’interessato.
In primo luogo, il Comitato coglie l’occasione per ribadire la necessità di procedere ad un’interpretazione rigorosa del concetto di “necessità”: la base giuridica contrattuale potrà essere impiegata dal titolare unicamente ove (i) esista un valido contratto tra le parti ai sensi della normativa nazionale, (ii) il trattamento sia oggettivamente indispensabile ai fini della fornitura del servizio, rimanendo espressamente esclusa la possibilità di ampliare artificiosamente l’ambito di applicazione della base giuridica contrattuale. Se dunque da un lato la semplice menzione di un trattamento in un contratto non è sufficiente a renderne legittimo il trattamento ex art. 6, c.1, lett. b), dall’altro un trattamento potrebbe essere oggettivamente necessario anche se non esplicitato nel contratto (ad esempio, l’invio di comunicazioni strettamente funzionali alla relazione contrattuale o l’attività tipica del servizio clienti).
In secondo luogo, si evidenzia come la fruibilità della base giuridica contrattuale venga di norma meno con la conclusione del rapporto, con la conseguenza che l’ulteriore e successivo trattamento dei dati personali dovrebbe trovare il suo fondamento in una delle altre basi giuridiche offerte dal Regolamento, quali l’adempimento di obblighi di legge (ai fini della conservazione) o il legittimo interesse del titolare.
Degne di nota anche le considerazioni del Comitato in merito ai trattamenti di dati effettuati ai fini del miglioramento del servizio, attività piuttosto comune nei servizi offerti in ambiente digitale, dove la raccolta di dati di utilizzo dell’utente risulta spesso indispensabile al titolare per sviluppare il proprio prodotto e incrementarne le potenzialità. Ebbene, le Linee guida stabiliscono espressamente che un simile trattamento, di norma, non potrà essere fondato sulla base contrattuale, in quanto non strettamente indispensabile alla mera fruizione del servizio.
Parimenti, l’art. 6, c.1, lett. b) non potrà legittimare il trattamento effettuato ai fini dell’attività di pubblicità comportamentale, e ciò anche quando questa sia il mezzo che consente al titolare di offrire un servizio in maniera gratuita. Se poi la pubblicità comportamentale viene posta in essere mediante l’utilizzo di cookie, il consenso informato dell’utente risulterà sempre indispensabile.
Discorso lievemente diverso viene fatto in materia di personalizzazione del servizio offerto: il Comitato, adottando un approccio meno categorico, riconosce che, in alcuni casi, il trattamento di dati dell’utente finalizzato all’individualizzazione dell’esperienza di utilizzo potrebbe assurgere ad elemento “necessario” per l’esecuzione del rapporto contrattuale tra le parti.
PERCHÉ È IMPORTANTE:
Pur non discostandosi da linee interpretative ben consolidate sin dall’esistenza dell’oggi soppresso Working Party art. 29, le Linee guida in esame offrono utili spunti ai soggetti operanti nel mondo dei servizi on-line, agevolandoli nella conduzione delle proprie valutazioni in materia di compliance alla normativa in materia di dati personali, con particolare riguardo ai principi di accountability e privacy by design.