Nel corso della sua 15esima sessione plenaria, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) ha adottato la versione definitiva delle linee-guida sull’ambito territoriale, precedentemente sottoposte a consultazione pubblica.
Le linee-guida forniscono chiarimenti sull’applicazione del Regolamento UE 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell’articolo 27 del Regolamento stesso.
Finalità del trattamento
Il tema principale del documento è quello dei limiti da porre alla base giuridica dell’articolo 6, comma 1 lett. b) del GDPR e cioè quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Essendo i servizi forniti online, occorre che il Titolare presti maggiore attenzione agli effetti che ogni trattamento ha sugli interessati, specialmente ove si tratti di categorie necessitanti maggior tutela, come i minori. È in questo senso che l’art. 5 GDPR deve essere interpretato: per poter pienamente garantire la liceità e la trasparenza del trattamento occorre valutare anche quali effetti lo stesso abbia sugli interessati, tenendo in considerazione in special modo le possibili conseguenze avverse che dallo stesso possono scaturire. Ciò assume maggiore rilevanza ove si consideri che nei contratti per servizi online si assiste molto spesso ad una raccolta di dati sproporzionata rispetto alle finalità.
Fermo restando l’applicazione di tutti i principi fondamentali di cui all’articolo 5 del GDPR e le norme in materia di contratti (anche a distanza), le linee guida invitano a un’analisi delle varie finalità delle attività di trattamento in modo da selezionare la base giuridica più adatta e non cedere alla tentazione di far passare tutto o troppo come attività necessaria all’esecuzione del contratto con l’interessato.
Rischi della videosorveglianza.
Le linee guida dell’EDPB, innanzitutto, riconoscono l’importanza di regolamentare la videosorveglianza al fine di mitigarne usi non leciti, specie in considerazione: dell’enorme numero di dati personali che con essa si trattano, dei nuovi sviluppi tecnologici (come le smart cameras e i software di analisi video) e dei possibili esiti pregiudizievoli e discriminatori che la videosorveglianza può implicare.
Lo European Data Protection Board, nell’ultima parte del documento, si occupa di quattro tipiche finalità collegate all’esecuzione dei contratti di servizi online: il miglioramento dei servizi stessi, la prevenzione di attività fraudolente, la pubblicità comportamentale e la personalizzazione dei contenuti.
Per ciascuna di queste, le linee guida offrono ragionevoli spunti di riflessione per permettere di valutare se possano ricadere sotto l’ombrello della base giuridica contrattuale o meno. Se il miglioramento dei servizi e la prevenzione di attività fraudolente possono essere agilmente collegati a un legittimo interesse del titolare (la prevenzione delle attività fraudolente in determinati casi può anche essere un obbligo di legge), la pubblicità comportamentale difficilmente potrà essere legittima in mancanza di un consenso.
