EntiOnLine
Categorie
indietro
06/02/2018 Base giuridica: contratto

Base giuridica: contratto

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

III.2. Articolo 7, lettere da a) a e)

La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.

III.2.2. Contratto

L’articolo 7, lettera b), è il fondamento giuridico che può essere invocato nei casi in cui il trattamento “è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona”. Questa disposizione contempla due scenari differenti.

i) Innanzitutto, l’articolo 7, lettera b), riguarda le situazioni in cui il trattamento è necessario all’esecuzione del contratto concluso con la persona interessata. In quest’ambito possono rientrare, per esempio, il trattamento dell’indirizzo dell’interessato affinché possa essere effettuata la consegna delle merci acquistate online o il trattamento degli estremi della carta di credito per l’esecuzione del pagamento. Nel contesto occupazionale, questo fondamento giuridico potrebbe permettere, per esempio, il trattamento di informazioni riguardanti lo stipendio e delle coordinate bancarie al fine di consentire il pagamento dei salari.Questa disposizione deve essere interpretata rigorosamente e non contempla le situazioni in cui il trattamento non è effettivamente necessario all’esecuzione di un contratto, bensì imposto unilateralmente all’interessato dal responsabile del trattamento. Inoltre, il fatto che alcuni trattamenti di dati siano coperti da un contratto non significa automaticamente che tali trattamenti siano necessari alla sua esecuzione. Ad esempio, l’articolo 7, lettera b), non è un fondamento giuridico adeguato per creare un profilo dei gusti e delle scelte di stile di vita dell’utente sulla base della sequenza di clic che ha effettuato su un sito web e degli articoli che ha acquistato. Questo perché il responsabile del trattamento dei dati non ha firmato un contratto per elaborare profili, bensì per fornire beni e servizi particolari, per esempio. Anche se tali attività di trattamento sono espressamente menzionate in caratteri minuscoli nel contratto, questo fatto, da solo, non le rende “necessarie” all’esecuzione del contratto.In questo caso esiste un chiaro collegamento tra la valutazione della necessità e il rispetto del principio di limitazione delle finalità. È importante stabilire la ratio esatta del contratto, ossia la sua sostanza e il suo obiettivo fondamentale, poiché sarà questa la base su cui si valuterà se il trattamento dei dati è necessario alla sua esecuzione. In alcuni casi limite, stabilire se il trattamento è necessario all’esecuzione del contratto potrebbe essere sostenibile o richiedere accertamenti più specifici. Per esempio, la creazione di una banca dati aziendale con i recapiti dei dipendenti interni, in cui siano indicati il nome, l’indirizzo professionale, il numero di telefono e l’e-mail di tutti i dipendenti al fine di consentire a questi ultimi di contattare i loro colleghi, in alcune situazioni potrebbe essere considerata necessaria per l’esecuzione di un contratto ai sensi dell’articolo 7, lettera b), ma potrebbe anche essere legittima ai sensi dell’articolo 7, lettera f), qualora l’interesse prevalente del responsabile del trattamento sia dimostrato e siano adottate tutte le misure appropriate, compresa ad esempio l’opportuna consultazione dei rappresentanti dei dipendenti. Altre situazioni, quali ad esempio il monitoraggio elettronico dell’utilizzo di Internet, della posta elettronica o del telefono da parte dei dipendenti o la videosorveglianza dei lavoratori costituiscono più chiaramente trattamenti che con ogni probabilità vanno oltre quanto necessario all’esecuzione di un contratto di lavoro, sebbene anche in questo caso ciò possa dipendere dalla natura dell’attività lavorativa. La prevenzione delle frodi, che fra le altre attività potrebbe comprendere il monitoraggio e la creazione di profili dei clienti, è un altro tipico ambito che si potrebbe ritenere al di là di quanto necessario all’esecuzione di un contratto. Tale trattamento potrebbe dunque essere comunque legittimo ai sensi di un altro criterio di liceità di cui all’articolo 7, per esempio il consenso, se del caso, un obbligo legale o l’interesse legittimo del responsabile del trattamento (articolo 7, lettere a), c) o f))35 . In quest’ultimo caso, il trattamento deve essere soggetto a garanzie e misure supplementari al fine di tutelare adeguatamente gli interessi o i diritti e le libertà degli interessati.L’articolo 7, lettera b), si applica esclusivamente a ciò che è necessario all’esecuzione di un contratto. Non si applica a tutte le ulteriori azioni avviate a seguito di inosservanza o a tutti gli altri incidenti intervenuti nell’esecuzione di un contratto. Fintantoché riguarda la normale esecuzione di un contratto, il trattamento potrebbe rientrare nel campo di applicazione dell’articolo 7, lettera b). Qualora nell’esecuzione di un contratto si verifichi un incidente che determina un conflitto, il trattamento dei dati potrebbe seguire un corso diverso. Il trattamento delle informazioni di base dell’interessato, quali il nome, l’indirizzo e il riferimento ai restanti obblighi contrattuali per l’invio di solleciti formali dovrebbe comunque essere considerato come rientrante nel trattamento dei dati necessario all’esecuzione di un contratto. Quanto a trattamenti di dati più elaborati, che potrebbero prevedere o meno il coinvolgimento di terzi, quali il recupero del debito estero o la citazione in giudizio di un cliente che non ha pagato per un servizio, si potrebbe sostenere che tali trattamenti non avvengono più nell’ambito della “normale” esecuzione di un contratto e pertanto non rientreranno nel campo di applicazione dell’articolo 7, lettera b). Tuttavia, ciò non renderebbe il trattamento illegittimo in quanto tale: è nell’interesse legittimo del responsabile del trattamento esperire mezzi di ricorso per garantire il rispetto dei suoi diritti contrattuali. Potrebbero essere invocati altri fondamenti giuridici, quali l’articolo 7, lettera f), fatte salve garanzie e misure adeguate e subordinatamente al soddisfacimento del test comparativo36 .

ii) In secondo luogo, l’articolo 7, lettera b), riguarda anche il trattamento che si effettua prima della conclusione di un contratto. In quest’ambito rientrano le relazioni precontrattuali, purché siano prese misure su richiesta dell’interessato, anziché su iniziativa del responsabile del trattamento o di terzi. Per esempio, se una persona chiede a un rivenditore al dettaglio di mandarle un’offerta per un prodotto, il trattamento effettuato a tal fine, tramite la conservazione dei dati relativi all’indirizzo e delle informazioni riguardanti la richiesta, per un periodo di tempo limitato, sarà appropriato ai sensi di questo fondamento giuridico. Analogamente, se una persona chiede un preventivo assicurativo per la propria automobile, l’assicuratore potrebbe trattare i dati necessari, per esempio la marca e l’età dell’autoveicolo nonché altri dati pertinenti e proporzionati, al fine di preparare il preventivo. Tuttavia, verifiche dettagliate dei precedenti quali, ad esempio, il trattamento dei dati relativi a controlli medici prima che una società di assicurazioni stipuli un’assicurazione sulla salute o un’assicurazione sulla vita con un richiedente, non saranno considerate misure necessarie prese su richiesta dell’interessato. Anche le verifiche delle informazioni creditizie svolte prima della concessione di un prestito non sono effettuate su richiesta dell’interessato ai sensi dell’articolo 7, lettera b), bensì ai sensi dell’articolo 7, lettera f), o dell’articolo 7, lettera c), conformemente all’obbligo giuridico delle banche di consultare un elenco ufficiale di debitori registrati. Non sarà nemmeno possibile inviare materiale pubblicitario su iniziativa del rivenditore al dettaglio/responsabile del trattamento sulla base di questo fondamento giuridico. In alcuni casi, fatte salve garanzie e misure adeguate e subordinatamente al soddisfacimento del test comparativo, un fondamento giuridico adeguato potrebbe essere rappresentato dall’articolo 7, lettera f), anziché dall’articolo 7, lettera b). In altri casi, compresi quelli che comportano la creazione di profili completi, la condivisione dei dati, l’invio di materiale pubblicitario online o la pubblicità comportamentale, occorre prendere in considerazione il consenso di cui all’articolo 7, lettera a), come si evince dall’analisi sottostante37

______________

35 È possibile trovare un altro esempio di fondamenti giuridici multipli nel parere 15/2011 del Gruppo di lavoro sulla definizione di consenso (citato alla nota a piè di pagina 2). Per acquistare un’automobile, il responsabile del trattamento può essere autorizzato a trattare i dati personali per scopi diversi e sulla base di motivazioni diverse: - dati necessari per l’acquisto dell’automobile: articolo 7, lettera b); - per la preparazione dei documenti dell’automobile: articolo 7, lettera c); - ai fini dei servizi di assistenza al cliente (per esempio, per garantire l’assistenza per il veicolo in diverse società affiliate nell’UE): articolo 7, lettera f); - ai fini del trasferimento dei dati a terzi per la realizzazione delle attività di marketing di questi ultimi: articolo 7, lettera a).

36 Per quanto riguarda le categorie particolari di dati, potrebbe essere necessario prendere in considerazione anche l’articolo 8, paragrafo 1, lettera e), “necessario per costituire, esercitare o difendere un diritto per via giudiziaria”

37 Cfr. la sezione III.3.6 (b) al paragrafo “Esempio: l’evoluzione nell’approccio all’invio di materiale pubblicitario”, pagg. 54-55

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati