Servizi online: EDPB pubblica linee guida sulla base giuridica per trattare i dati

Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, adopted on 9 April 2019

L'European Data Protection Board ("EDPB") ha pubblicato il progetto di Linee Guida sul trattamento dei dati personali nel contesto della fornitura di servizi online agli interessati (Guidelines 2/2019).

Le Linee Guida ora in fase di consultazione pubblica sino al 24 maggio p.v. forniscono interessanti indicazioni.

Si ricorda che la base per il trattamento dei dati personali dei servizi on line è il contratto (articolo 6 Regolamento generale sulla protezione dei dati lettera b). In particolare, la base giuridica del "contratto" di applica in situazioni in cui il trattamento è necessario (1) per l'esecuzione di un contratto a cui l'interessato è parte o (2) per raccogliere informazioni su richiesta dell'interessato prima di stipulare un contratto, indipendentemente dal fatto che il contratto sia disciplinato dalla legge di uno Stato membro dell'UE dello Spazio economico europeo ("SEE") o dalla legge di un paese terzo.

Le linee guida discutono in che modo la base giuridica del "contratto" si applica nel contesto dei servizi online o dei "servizi della società dell'informazione", definiti come "qualsiasi servizio normalmente fornito dietro retribuzione, a distanza, per via elettronica e su richiesta di un destinatario di servizi." Ciò include servizi che non sono pagati direttamente dalle persone che li ricevono, come i servizi online finanziati attraverso la pubblicità.

Le Linee Guida sottolineano che le precedenti indicazioni del Gruppo dell'Articolo 29 sulla base giuridica del "contratto" ai sensi della direttiva sulla protezione dei dati dell'UE rimangono generalmente valide. In tale contesto, le linee guida si concentrano sull’adeguatezza del contratto come base giuridica per i servizi on line, definendo

1. le condizioni generali che i titolari del trattamento dei dati devono soddisfare utilizzare e rientrare in tale base giuridica
2. come si applica la base giuridica del contratto a specifici servizi online.

• Il trattamento deve essere obiettivamente "necessario" per l'esecuzione di un servizio contrattuale o per l'adozione di misure precontrattuali pertinenti su richiesta dell'interessato. Se esistono alternative realistiche e meno invadenti per raggiungere l'obiettivo perseguito, l'elaborazione dei dati non sarà considerata "necessaria".
• Il titolare del trattamento per il principio dell’accountability deve essere in grado di dimostrare che il trattamento era “necessario” per l'esecuzione di un contratto con l'interessato. In particolare il titolare deve essere in grado di dimostrare che a esiste un contratto tra le parti, legalmente valido e che il trattamento è oggettivamente necessario per uno scopo che è parte integrante della fornitura del servizio contrattuale online fornito all'interessato. Le linee guida confermano che il solo riferimento o menzione del trattamento dei dati in un contratto non è sufficiente per stabilire che il trattamento è necessario per eseguire il contratto. Interessante è una specie di “check list” fornita dalle Linee guida composta da quattro domande per aiutare le aziende a valutare se possono utilizzare sulla base legale del "contratto" per l'elaborazione in quel contesto, da utilizzarsi prima del trattamento.
• Necessario per prendere decisioni prima di stipulare un contratto (fase precontrattuale): le linee guida chiariscono che la "necessità di adottare misure precontrattuali" non riguarderà il marketing non richiesto o altra attività di elaborazione dei dati che è guidata esclusivamente dall'iniziativa del responsabile del trattamento o su richiesta di un terzo.
• Applicabilità della base giuridica "Contratto" in situazioni specifiche

Le Linee Guida discutono anche sull'utilizzo della base legale "contrattuale" per i seguenti scopi nel contesto dei servizi online:

• migliorare un servizio o sviluppare nuove funzioni all'interno di un servizio esistente;
• prevenzione frodi;
• pubblicità comportamentale online; e
• personalizzazione del contenuto.

Le linee guida osservano che i Titolari devono inoltre garantire che siano conformi a tutti i principi fondamentali di protezione dei dati di cui all'articolo 5 del GDPR (come i limiti di finalità e i principi di minimizzazione dei dati che sono particolarmente rilevanti nei contratti per i servizi online), gli altri requisiti del GDPR e, ove applicabile, i requisiti ePrivacy (come i requisiti di legge sui cookie).