Esecuzione di un contratto o misure precontrattuali

Esecuzione di un contratto o misure precontrattuali

L'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso è una delle legittime basi giuridiche previste dall'articolo 6 del GDPR al fine di rendere lecito il trattamento dei dati personali. 

E' pacifico che il dato personale deve essere necessario per l'esecuzione del contratto concluso con l'interessato, altrimenti non è applicabile la base giuridica in questione. Il classico esempio è dato dall'esecuzione di un contratto di consegna di un bene per il quale è necessario l'indirizzo dell'interessato. Nell'ambito del lavoro si può considerare il pagamento degli stipendi per il quale è necessario il dato relativo alle coordinate bancarie. L'EDPB ha più volte chiarito che il concetto di necessità deve essere interpratato in maniera restrittiva, e non è applicabile alle situazione nelle quali il dato è semplicemente imposto unilateralmente dal contratto stesso. Il criterio di necessità deve ritenersi soddisfatto solo se il contratto non può essere integralmente eseguito senza il trattamento dei dati (Tribunale amministrativo dell'Austria). 

Un esempio si può avere in tema di profilazione dei comportamenti degli utenti online. L'interessato si iscrive, ad esempio, ad un servizio di social media, e il contratto in questione stipulato con l'azienda che gestisce il social prevede la raccolta dei dati comportamentali. Ma è pacifico che tale raccolta non può essere basata sul contratto in quanto non è strettamente necessaria per la fornitura del servizio di social media. Questo ovviamente in linea di massima, fermo restando che occorre sempre valutare nel concreto la situazione. E' ovvio che se il contratto fosse scritto in maniera differente, valorizzando ad esempio la fornitura del servizio di profilazione al fine di consentire un'adeguata visualizzazione di contenuti rilevanti per gli utenti, la base giuridica in questione potrebbe essere valida. Per questo è sempre necessario valutare attentamente se il trattamento è necessario all'esecuzione del contratto. 

Questa base giuridica copre i trattamenti che sono necessari all'esecuzione di un contratto, ma ciò non vuol dire che ulteriori trattamenti non possano essere leciti in base a differenti basi giuridiche. Ad esempio la fase di recupero del credito verso un soggetto inadempiente può essere giustificata in base ai legittimi interessi del titolare del trattamento a garantire il rispetto dei suoi diritti contrattuali. 

La norma in questione riguarda anche i trattamenti che si effettuano prima della conclusione del contratto, quindi le relazioni precontrattuali, purché siano su iniziativa dell'interessato. Ad esempio l'invio dell'offerta di un prodotto su espressa richiesta. Occorre però che siano su richiesta dell'interessato. Ad esempio le informazioni creditizie raccolte dalle banche prima della concessione di un prestito non ricadono in questa base giuridica. Tuttavia sono giustificate in base all'obbligo giuridico delle banche di consultare l'elenco ufficile di debitori regisrati.  

Nel caso in cui viene applicata questa base giuridica, il titolare deve compiutamente informare gli interessati, tramite l'informativa, e garantire la portabilità dei dati