Il contratto è una delle basi giuridiche previste dal GDPR su cui può basarsi il trattamento dei dati personali. L’utilizzo di questa base giuridica presuppone che il trattamento sia oggettivamente necessario per l’esecuzione di un contratto tra l’organizzazione che tratta i dati e gli interessati.
Il contratto può validamente basare un trattamento, purché questo sia oggettivamente necessario all’esecuzione del contratto stesso: non è sufficiente che il trattamento dei dati sia menzionato nelle clausole contrattuali o nelle condizioni generali di utilizzo. Allo stesso modo, tale base giuridica può essere la base del trattamento necessario per l’esecuzione di misure precontrattuali, cioè precedenti alla stipula di un contratto e che ne facilitano la conclusione, a condizione che tali misure siano adottate.
Chi può essere interessato dalla base giuridica del “contratto”?
Il contratto è una delle 6 basi giuridiche previste dal GDPR che autorizza l’attuazione del trattamento dei dati personali.
Tale base giuridica riguarda, in primo luogo, i trattamenti effettuati da soggetti privati nell’ambito di un rapporto contrattuale con gli interessati dal trattamento. Può altresì autorizzare l’attuazione di trattamenti da parte di enti pubblici, purché intrattengano un rapporto contrattuale o precontrattuale con gli interessati e non appaiano più idonee altre basi giuridiche.
A quali condizioni il contratto può costituire la base giuridica del trattamento?
Il ricorso al contratto come base giuridica del trattamento è soggetto a 3 condizioni:
- esiste un rapporto contrattuale o precontrattuale tra l’organizzazione e l’interessato
È necessario che l’interessato e l’organizzazione che tratta i suoi dati, siano coinvolti in un rapporto contrattuale al fine di basare il trattamento su questa base giuridica.
Tuttavia, può anche costituire la base del trattamento, quando esiste la mera possibilità che sia stato concluso un contratto: tale base giuridica riguarda anche il trattamento necessario all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato.
Pertanto, il trattamento dei dati necessario per l’adozione di misure antecedenti alla stipula di un contratto e che ne facilitano la conclusione, anche in assenza di una conclusione effettiva di tale contratto, può fondarsi sulla base giuridica “contratto”, a condizione che tali misure rispondono ad iniziativa esclusiva dell’interessato.
Ad esempio, una persona può fornire il proprio codice postale a un ente al fine di determinare se quest’ultimo, fornisce servizi di consegna nella zona in cui risiede: il trattamento di questi dati può basarsi sulla base giuridica “contratto”, anche se non contratto è stato ancora concluso tra il titolare del trattamento e l’interessato.
Per contro, il trattamento finalizzato alla ricerca di nuovi clienti, senza che vi sia alcuna azione da parte sua, non può fondarsi sulla base giuridica del contratto, in quanto tale trattamento è posto in essere ad iniziativa esclusiva dei responsabili del trattamento, e non su richiesta delle persone interessate. Tale trattamento di previsione deve basarsi sul legittimo interesse del titolare del trattamento o sul consenso delle persone .
Allo stesso modo, se alcune organizzazioni hanno obblighi legali per verificare l’identità delle persone (come ad esempio nel settore bancario) prima di concludere un contratto con esse, il trattamento dei dati necessari a tale verifica non può essere basato sul contratto, perché queste operazioni non vengono eseguite su richiesta degli interessati. Tale trattamento può, tuttavia, basarsi sull’obbligo legale incombente al titolare del trattamento.
- il contratto deve essere valido ai sensi della legge applicabile
Naturalmente, il contratto che vincola l’interessato al responsabile del trattamento, o destinato a essere concluso tra queste due parti, deve essere legale.
In particolare, deve rispettare i requisiti del diritto contrattuale e, ove applicabili, rispettare i vincoli specifici che disciplinano determinati contratti, come i contratti conclusi con consumatori o i contratti per la fornitura di contenuti o servizi digitali.
- il contratto può essere mantenuto solo se il trattamento soddisfa la condizione di necessità (come per ogni base giuridica)
Il trattamento in questione deve essere oggettivamente necessario all’esecuzione del contratto. Ciò significa che deve solo consentire all’organizzazione di eseguire lo specifico contratto stipulato con la persona, vale a dire di fornire il prodotto o servizio desiderato da quella persona, e non deve essere finalizzato ad altro scopo, consentendo ad esempio il perseguimento di distinti o interessi esclusivi del titolare del trattamento. L’organizzazione deve inoltre garantire che non vi siano mezzi meno invadenti per l’esecuzione del presente contratto, rispetto all’attuazione del trattamento previsto.
Ad esempio, una persona effettua acquisti online e desidera pagare con carta di credito e farsi consegnare i prodotti a casa. È quindi necessario che il sito del commerciante online elabori i dati di pagamento e l’indirizzo di consegna del proprio cliente: il trattamento di tali dati è finalizzato esclusivamente all’esecuzione del contratto concluso con l’interessato ed i dati trattati sono limitati a quelli necessari per questa esecuzione. Il trattamento da parte dell’organizzazione di queste informazioni può quindi basarsi sulla base giuridica “contratto”.
In pratica, la condizione di necessità viene concretamente valutata rispetto all’obiettivo del contratto e le reciproche aspettative delle parti rispetto a tale obiettivo. Essa non è tuttavia determinata dalla formalizzazione del presente contratto: il rispetto di tale condizione non va valutato alla luce di quanto consentito o scritto nel contratto proposto dal titolare del trattamento.
Ad esempio, la pubblicità mirata al trattamento su un servizio online non può, in generale, essere considerata oggettivamente necessaria all’esecuzione del contratto concluso con gli interessati, anche se il trattamento è menzionato nelle condizioni generali di utilizzo del sito web. La fruizione del servizio, infatti, non è condizionata dall’attuazione di trattamenti mirati alla pubblicità e il fatto che tale trattamento sia necessario in relazione al modello di business dell’organizzazione o alla redditività economica del sito, non è sufficiente a renderlo necessario per lo svolgimento dello specifico contratto concluso con gli interessati.
Un’organizzazione che intenda creare profili sulle preferenze degli utenti, in base alla loro navigazione su un sito web, deve quindi cercare un’altra base giuridica, come il consenso delle persone .
Come determinare se un’operazione di trattamento è “necessaria per l’esecuzione del contratto”?
Nel determinare se il trattamento è necessario per fornire il prodotto o servizio, l’organizzazione dovrebbe considerare lo scopo del contratto, tenendo conto delle aspettative reciproche di entrambe le parti.
La necessità del trattamento dei dati viene quindi valutata anzitutto in relazione all’obiettivo principale del contratto: il titolare del trattamento deve garantire che la fornitura del prodotto o servizio non possa aver luogo in assenza di esecuzione del trattamento in questione. Se, invece, lo scopo del contratto può essere raggiunto senza che sia attuato lo specifico trattamento dei dati, la condizione di necessità non è soddisfatta.
Ad esempio, se una persona sottoscrive un abbonamento a pagamento a una rivista online, lo scopo del contratto è consentire alla persona di visualizzare o scaricare articoli in cambio di un pagamento. I dati che possono essere trattati dall’organizzazione sulla base giuridica “contratto”, sono solo quelli necessari al raggiungimento di tale obiettivo, quali dati identificativi, un indirizzo email e dati di pagamento.
D’altra parte, il trattamento svolto dalla stessa organizzazione al fine di migliorare i propri servizi non può generalmente basarsi su tale base giuridica, in quanto il presente contratto può, nella maggior parte dei casi, essere eseguito senza che tali trattamenti siano attuati. Il titolare del trattamento deve quindi ricercare un’altra base giuridica per tale trattamento, quale “ interesse legittimo ”.
La natura necessaria del trattamento è valutata anche con riguardo alle aspettative di ciascuna delle parti in ordine alla finalità del contratto: il titolare del trattamento non deve basarsi esclusivamente sul suo punto di vista per valutarne la necessità di tale finalità, ma deve anche tenere conto del punto di vista dell’interessato, della sua apprensione per l’obiettivo principale del contratto o del modo in cui il servizio è stato promosso. L’organizzazione deve quindi garantire che entrambe le parti condividano una comprensione simile dell’oggetto del contratto e che questo obiettivo comune richieda l’attuazione del trattamento dei dati in questione.
Ad esempio, quando un soggetto apre un conto corrente in un istituto bancario, l’oggetto del contratto costituisce, dal punto di vista delle reciproche aspettative delle parti, l’effettuazione di operazioni bancarie e la fornitura di mezzi di pagamento. Sebbene sia del tutto legittimo per l’istituto bancario voler prevenire e contrastare le frodi nei pagamenti, ad esempio, il trattamento di dati relativi ad anomalie o incongruenze che possano rivelare frodi non può essere ritenuto necessario per il raggiungimento dell’obiettivo contrattuale così come percepito dall’interessato. Il trattamento della prevenzione delle frodi non può quindi basarsi sull’esecuzione del contratto e l’organizzazione deve quindi ricercare un’altra base giuridica, quale il “ legittimo interesse ”.
Il responsabile del trattamento deve essere in grado di dimostrare la validità dell’uso di questa base giuridica.
Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.
I termini del contratto sono sufficienti per convalidare l’uso di questa base giuridica?
Dal punto di vista della protezione dei dati, la forma e il contenuto del contratto non pregiudicano la validità dell’uso della base giuridica “contratto”:
- la menzione o anche l’autorizzazione ad attuare il trattamento dei dati nelle clausole contrattuali o nelle condizioni generali di utilizzo, non ha la conseguenza di rendere tale trattamento “necessario all’esecuzione del contratto” ai sensi del GDPR;
- viceversa, e fatti salvi gli obblighi in materia di trasparenza , il trattamento dei dati può essere oggettivamente necessario all’esecuzione del contratto senza essere espressamente menzionato nel contratto stesso;
- un contratto stipulato con l’interessato può riguardare una pluralità di servizi, prestazioni o prodotti, ma la validità della base giuridica “contratto” deve essere valutata separatamente, valutando la natura necessaria del trattamento per l’erogazione di ciascuno di questi elementi.
Quali sono le conseguenze della fine del contratto?
In linea di principio, la base giuridica del “contratto” si applica solo al trattamento posto in essere prima della conclusione del contratto (nell’ambito di misure precontrattuali adottate su richiesta della persona) o durante la durata del contratto (nell’ambito della esecuzione di quest’ultimo).
Tuttavia, alcune operazioni di trattamento che sono indissolubilmente legate all’esecuzione del contratto, possono essere attuate utilizzando questa base giuridica dopo che il servizio o prodotto è stato fornito, purché necessario per il rapporto contrattuale in questione.
Ad esempio, i trattamenti posti in essere al fine di garantire le garanzie legali o contrattuali annesse ai beni o servizi forniti (quali ad esempio la sostituzione di prodotti difettosi), nonché i trattamenti posti in essere ai fini della gestione degli insoluti, possono basarsi su questa base giuridica.
Fatta salva questa riserva, il trattamento dei dati basato su questa base giuridica non è più necessario per l’esecuzione del contratto al termine di quest’ultimo, ovvero quando il servizio o il prodotto in questione è stato fornito all’interessato. I dati conservati dal titolare devono poi essere cancellati dal trattamento, alle condizioni previste dall’articolo 17 del GDPR .
Lo stesso vale in caso di inadempimento dell’una o dell’altra parte: tale inadempimento, che deve avvenire nel rispetto del diritto contrattuale, comporta anche la cessazione del trattamento.
Quali sono le conseguenze della scelta di questa base giuridica?
La base giuridica del “contratto” ha alcune importanti conseguenze per l’organizzazione che tratta i dati e per le persone interessate dal trattamento. Come per tutte le basi giuridiche, la scelta di avvalersi del contratto deve quindi essere oggetto di particolare attenzione da parte del titolare del trattamento.
- Per le organizzazioni che trattano dati: il trattamento attuato sulla base di questa base giuridica è soggetto al meccanismo di cooperazione dello sportello unico; tutte le fasi relative al trattamento transfrontaliero basato sul contratto devono quindi essere indirizzate esclusivamente all’autorità capofila.
- Per le persone fisiche: il diritto di opposizione non può essere esercitato rispetto al trattamento basato sul contratto; il diritto alla portabilità dei dati può essere esercitato in relazione a tale trattamento.
Comments are closed for this article!