Home

Quando il trattamento dei dati personali è necessario per l’esecuzione di un contratto

13 Aprile 2023

L’articolo 6, par. 1, lett. b) GDPR configura un fondamento di liceità per il trattamento di dati personali nella misura in cui «il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso». Tale previsione è risultato della volontà del legislatore europeo di tutelare la libertà d’impresa e riflette il fatto che talvolta non è possibile ottemperare alle obbligazioni contrattuali nei confronti dell’interessato senza che quest’ultimo fornisca determinati dati personali. Se il trattamento specifico è parte integrante dell’erogazione del servizio richiesto, il trattamento di tali dati è nell’interesse di entrambe le parti poiché altrimenti non sarebbe possibile fornire il servizio e dare esecuzione al contratto. Diventa quindi fondamentale comprendere quando effettivamente un trattamento sia parte essenziale del contratto e quando, invece, sia solo parte accessoria di esso.

Introduzione. Gli editori italiani

Sposano la teoria della possibilità di interpretare in modo esteso il concetto di “trattamento necessario all'esecuzione di un contratto”, gli editori italiani che, simultaneamente, da qualche mese hanno imposto ai loro lettori una scelta tra l'accettazione dei cookie e il pagamento per la lettura delle notizie. Banner di questo tipo sono difatti apparsi su tutte le principali testate generando non poche critiche nonché un intervento del Garante Privacy che, ormai da diversi mesi, ha avviato un esame di merito relativamente alle citate prassi dei quotidiani italiani.

Il ragionamento di diritto che si cela dietro a questi “cookie wall” è molto semplice ed è riconducibile a quanto più sopra riportato. I quotidiani online hanno inserito nel loro business model anche il fatto di poter ricavare introiti dalle analisi e dalla raccolta di dati degli utenti. Se questa analisi viene impedita è necessario per loro ricorrere ad altri mezzi di sostentamento. Sul punto è utile una nota di contesto. Il lettore si domanderà il motivo di una simile decisione da parte degli editori. La risposta è da ricercare nel fatto che -per motivi che non analizzeremo in quanto ultronei alla trattazione - gli interventi dell'Autorità Garante della protezione dei dati contro i cookie analitici, in combinato con l'obbligo di inserire nei cookie banner il tasto “rifiuta tutti”, ha decretato un decremento sensibile degli introiti derivanti da analisi e vendita dei dati di traffico degli utenti. Di qui l'idea di mettere l'utente di fronte alla scelta tra pagare o essere tracciato.

Il caso di Meta e Clubhouse

Medesimo approccio è stato del resto adottato, con motivazioni diverse, anche da Meta/Facebook, e dal meno noto Clubhouse, entrambi sanzionati per violazione del GDPR.

La Autorità di Controllo irlandese, facendo proprie le conclusioni del Comitato dei Garanti europei (EDPB), ha condannato Meta a pagare 390 milioni di euro per aver violato le regole europee sulla privacy.

Alla base della sanzione, in particolare, vi è proprio la circostanza che Meta avrebbe fondato sul contratto il trattamento dei dati personali dei propri utenti -necessario ad offrire a questi ultimi pubblicità targettizzata- ovvero sulla condizione di liceità di cui all'art. 6, comma 1, lett. b) GDPR.

Tale base giuridica, non sarebbe idonea allo scopo per ragioni diverse che vanno dalla scarsa trasparenza con la quale Meta avrebbe rappresentato detta circostanza agli interessati, alla dubbia validità di un contratto perfezionato in presenza di una significativa asimmetria informativa tra le parti. Ciò che ha rilevato l'Autorità, soprattutto, è che il trattamento in questione non parrebbe effettivamente necessario a dare esecuzione al contratto che lega Meta ai suoi utenti, potendo detto contratto trovare esecuzione a prescindere dalla profilazione destinata alla trasmissione di pubblicità targettizzata, peraltro non presente nei termini e condizioni contrattuali.

Dello stesso avviso anche il Garante Privacy italiano che, nella decisione contro Clubhouse, in continuità con le Linee Guida EDPB 8 ottobre 2019, n. 2/2019, ha evidenziato che, frequentemente, i servizi online raccolgono dettagli sul modo in cui gli utenti interagiscono con il servizio, ritenendo tali trattamenti necessari alla corretta esperienza sulla piattaforma. Tuttavia, in molti casi, la raccolta di dati relativi a parametri organizzativi o al coinvolgimento degli utenti non è davvero necessaria per fornire il servizio, e, per questo motivo, European Data Protection Board ritiene che l'art. 6, par. 1, lett. b) GDPR non sia una base giuridica adeguata per il trattamento dei dati a fini di miglioramento o sviluppo di un servizio esistente, sebbene sia incluso nei termini contrattuali.

A nulla è quindi valso il tentativo di Clubhouse di evidenziare come il suo fosse un servizio necessariamente personalizzato by design e finalizzato ad aiutare gli utenti a connettersi e creare una comunità.

L'orientamento della Cassazione

Dagli esempi di cui sopra è emerso che la valutazione del carattere necessario del trattamento dei dati personali deve essere basata sulla reale necessità del trattamento per il servizio fornito. Tuttavia, è importante notare che ci sono pronunce giudiziarie che giungono a soluzioni opposte, combinando il concetto di libertà imprenditoriale e di consenso.

In sintesi, secondo tale orientamento, l'imprenditore ha diritto di ritenere essenziale un determinato trattamento (obbligando quindi l‘utente ad accettarlo) quando un servizio simile sia presene anche altrove.

In particolare, secondo Cass., sent. n.17278/2018, la previsione dell'art. 23 Codice privacy stabilisce che il consenso è valido quando espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato. Ciò consente al gestore di un sito internet di somministrare un servizio fungibile, al quale l'utente può rinunciare senza alcun oneroso sacrificio, e di condizionare la fornitura di tale servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia prestato in modo inequivocabile in riferimento a tale effetto.

Sebbene la Corte di Cassazione sia consapevole dell'impostazione opposta del Comitato dei Garanti, ha deciso comunque di fornire un'interpretazione del concetto di libertà del consenso, del tutto innovativa, a sostegno del principio di libertà dell'iniziativa imprenditoriale, la cui correttezza o meno dipenderà probabilmente dalla capacità di questo orientamento di imporsi nel tempo.

Il rapporto tra consenso e obbligo contrattuale

E' quindi chiaro che l'idea di obbligo contrattuale spesso si lega indissolubilmente a quella di un consenso effettivamente libero. Riprendendo l'esempio dei quotidiani italiani: se l'editore ritiene che i cookie siano necessari all'esecuzione contrattuale del suo servizio, può mettere l'utente di fronte alla alternativa del tipo “o accetti il contratto in toto o paghi”?

Ma soprattutto, quell'accettazione del servizio, a questo punto comprensiva dei cookie, può dirsi una accettazione effettuata liberamente?

Di fatto quello che chiedono gli editori, ma anche i social network più sopra citati è di accettare il servizio nella sua totalità, risultando una richiesta molto simile a quella esaminata da EDPB nelle Linee Guida 4 maggio 2020, n. 5/2020 dove si evidenzia come l'art. 7, par. 4 GDPR, indichi che è altamente inopportuno “accorpare” il consenso all'accettazione delle condizioni generali di contratto/servizio o “subordinare” la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l'esecuzione del contratto o servizio.

European Data Protection Board, precisa difatti che il consenso prestato in una tale situazione si presume  non sia stato espresso liberamente: “L'articolo 7, paragrafo 4, in particolare, assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale. Le due basi legittime per la liceità del trattamento dei dati personali, ossia il consenso e l'esecuzione di un contratto, non possono essere riunite e rese indistinte.”

Quello che accade oggi, come abbiamo visto nei precedenti analizzati, è che i prestatori di servizi si servono di una combinazione di due basi giuridiche, quella contrattuale e quella consensuale, per mettere l'utente di fronte ad una parvenza di scelta che, difficilmente può dirsi effettiva.

Di conseguenza, per i prestatori di servizi, specie online, sarà molto rischioso utilizzare la combinazione delle basi giuridiche del consenso e dell'obbligo contrattuale in modo da obbligare di fatto l'utente ad accettare il pacchetto completo dei trattamenti predisposti. Questo perché si sfocerebbe, nel primo caso in un consenso non libero e, nel secondo caso, in un obbligo contrattuale non realmente necessario all'esecuzione.

Casistica

Il Comitato dei Garanti, per dirimere ogni dubbio, ha deciso con le Linee Guida 2/2019 di pronunciarsi su alcuni esempi specifici che si ritiene utili riportare:

  • Trattamento per finalità di «miglioramento dei servizi»: in questo caso, EDPB ritiene che l'art. 6, par. 1, lett. b) GDPR, non costituisca in via generale una base giuridica appropriata per un trattamento svolto ai fini del miglioramento di un servizio o dello sviluppo di nuove funzioni. Tale trattamento non può essere considerato oggettivamente necessario, in via generale, all'esecuzione del contratto stipulato con l'utente. 
  • Trattamento per finalità di «prevenzione delle frodi»: è probabile che tale trattamento ecceda quanto oggettivamente necessario all'esecuzione di un contratto stipulato con un interessato. Tuttavia il trattamento dei dati personali strettamente necessario per finalità di prevenzione delle frodi può costituire un legittimo interesse del titolare del trattamento e potrebbe quindi dirsi lecito anche in mancanza di consenso.
  • Trattamento per finalità di pubblicità comportamentale online: non è possibile utilizzare l'art. 6, par. 1, lett. b) GDPR come base giuridica per il trattamento dei dati volto a tracciare e confrontare le caratteristiche e i comportamenti dell'utente per fini pubblicitari rivolti ad altri individui. Questo perché tale attività non può essere considerata oggettivamente necessaria per l'esecuzione del contratto stipulato con l'utente.

In conclusione

Sicuramente il GDPR, per sua impostazione, non può che lasciare ampia libertà all’imprenditore che presenta il proprio servizio sul mercato. Tuttavia, questa libertà deve necessariamente trovare un limite nel rispetto dei diritti dell’interessato. Si può quindi ritenere necessario un trattamento rispetto al contratto solo ove esista un rapporto diretto ed inscindibile tra questi due elementi, dovendosi escludere il ricorso a tale base giuridica in tutte le altre situazioni.

Né si può pensare di creare diversivi o consensi non liberi a sostegno di una necessità nei fatti non rinvenibile.

Certo, come abbiamo visto esistono comunque orientamenti che deviano da quella che è la dottrina granitica del Comitato dei Garanti, tuttavia, è raccomandabile cautela nell’approcciarsi ad essa.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
L'orientamento della Cassazione