Pubblicate le linee guida sulla necessità contrattuale

Editoriale del 31 ottobre 2019

Terminata la procedura di consultazione pubblica, nel corso della quattordicesima sessione plenaria, l’EDPB ha approvato la versione finale delle «linee guida 2/2019 sul trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera b), del GDPR nel contesto della fornitura di servizi online agli interessati».

Sintesi

 

Versione finale delle linee guida 2/2019 

La versione 2.0 dell’8 ottobre 2019 differisce solo per limitati aspetti formali dalla precedente versione 1.0 del 9/4/2019, sottoposta a consultazione pubblica; pertanto, rimangono validi i commenti oggetto della precedente puntata dell’Editoriale del 2 maggio 2019, cui si rinvia; in questa sede ci soffermeremo su aspetti non affrontati nella precedente tornata.

Principi e basi giuridiche

La base giuridica, come la necessità contrattuale qui esaminata, è una condizione di legittimità del trattamento di dati personali che declina il principio del trattamento lecito [art. 5(1)(a) GDPR].

L’individuazione della base giuridica è operazione fondamentale ma non sufficiente; essa deve essere considerata nel contesto complessivo del GDPR, all’interno della cornice degli obiettivi di tutela della riservatezza e della protezione dei dati personali [art. 1(2)] e «accanto all'obbligo del titolare del trattamento di trattare i dati personali in conformità con i principi di protezione dei dati ai sensi dell'articolo 5» tra cui si annoverano la limitazione delle finalità e gli obblighi di minimizzazione dei dati, oltre a quelli di correttezza e trasparenza.

Nel rispetto del principio di liceità, il titolare dovrà conformarsi anche a discipline appartenenti ad altri domini, come quello della legge sui contratti e della protezione dei consumatori; analogamente, in attuazione del principio di correttezza, egli dovrà riconoscere le «ragionevoli aspettative degli interessati, considerando le possibili conseguenze negative che il trattamento può avere su di loro e tenendo conto della relazione e dei potenziali effetti di uno squilibrio tra loro e il titolare del trattamento».

Secondo il principio di trasparenza, il titolare dovrà fornire un’adeguata informativa, comprensiva dei profili indicati negli articoli 13 e 14 del GDPR, anche quando la base giuridica sarà individuata nella necessità contrattuale.

 

In merito ai rapporti tra principi e basi giuridiche si veda anche quanto indicato nell’Editoriale del 30 maggio 2019. Sui principi di liceità si veda la sezione “Principi” del DPtel.

(omissis)

Prova il Servizio Editoriale gratuitamente per un mese