Servizi online e GDPR
Su Agenda Digitale è stato pubblicato l’approfondimento “GDPR, tutela della concorrenza e dei consumatori: le linee guida EDPB sui servizi online”, a firma di Franco Pizzetti. L’articolo è dedicato alla portata e alle implicazioni delle linee del Gruppo europeo di protezione dati (EDPB) dedicate ai servizi online, “ma con importanti indicazioni - precisa l’esperto nell’abstract - sul rapporto tra il GDPR e le altre norme a tutela della concorrenza e dei consumatori”. Di seguito l’introduzione dell’approfondimento:
I problemi di tutela della concorrenza e dei consumatori sono sempre più intrecciati con quelli della tutela dei dati personali, in una realtà nella quale sempre più la competizione nell’economia digitale deve fare i conti col GDPR e viceversa.
Si inseriscono pertanto in questa prospettiva le importanti “Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects”, adottate il 9 aprile 2019 dal Gruppo europeo di protezione dati (EDPB) e attualmente sottoposte a consultazione pubblica per la durata di sessanta giorni, al termine dei quali è del tutto ragionevole attendersi che esse, con le modificazioni che potranno rendersi opportune, siano adottate in via definitiva.
Le implicazioni di queste linee guida, come vedremo, vanno molto oltre il loro stesso oggetto. Esse, infatti, appaiono con tutta evidenza in piena sintonia con la spinta, che emerge sempre più chiaramente nel contesto europeo, a collegare strettamente la normativa di protezione dati (GDPR) con altre leggi di settore che incidono egualmente sul rapporto tra l’erogazione dei servizi online (e dunque i loro fornitori) e gli utenti destinatari di tali servizi.
Il contratto come base di legittimazione dei trattamenti
Le Linee guida 2/2019 sono state adottate dallo EDPB sulla base dell’art. 70(1)(e), che consente al Gruppo europeo di protezione dati di adottare, anche di propria iniziativa, linee guida per promuovere l’applicazione coerente del GDPR.
Allo stesso tempo, e proprio anche in questa prospettiva, tutto il documento è ispirato a imporre una visione strettamente rigorosa dell’applicazione dell’art. 6(1)(b), e cioè del contratto come base di legittimazione dei trattamenti, quando i dati personali dell’interessato (utente) siano trattati dal titolare (fornitore) nell’ambito di un servizio online.
Esse devono dunque ritenersi vincolanti anche per tutte le Autorità nazionali, costituendo un parametro in base al quale verificare la corretta applicazione dell’art. 6(1)(b) quando si tratti di trattamenti di dati personali basati su contratti per la fornitura di servizi online.
Le linee guida, pur dedicate ai servizi online, contengono infatti una serie di precisazioni relativamente alla corretta applicazione del contratto quale base di legittimazione dei trattamenti che assumono un valore generale rispetto ad ogni trattamento che si fondi, appunto, sul contratto.
Infine, come si vedrà nell’ultima parte, queste Linee guida contengono affermazioni importanti circa il rapporto tra il GDPR e le altre normative regolatrici che disciplinano l’attività contrattuale nell’ambito della fornitura di servizi online o, più in generale, nell’ambito della economia digitale. Aspetto questo che vale anche, e in particolare, per le legislazioni antitrust e quelle a tutela dei consumatori.