Base giuridica per l'utilizzo dei dati della carta di pagamento nei servizi online: raccomandazione n. 2/2021 dell'EDPB
Pubblicato il 28/07/21 00:00 [Articolo 1699]






Con la Raccomandazione n. 2/2021 del 19.5.2021, l'EDPB ha deciso di affrontare il tema della (corretta) individuazione di una base giuridica al fine di consentire ad un fornitore di un prodotto o di un servizio online (es. e-commerce) di conservare i dati della carta di credito[1], raccolti nel momento in cui l'interessato ha acquistato un prodotto ovvero ha pagato un servizio tramite un sito internet o un'applicazione software mobile, al (solo) scopo di facilitare un ulteriore (futuro, ed ipotetico) acquisto da parte di quest'ultimo[2].

In proposito, l'EDPB ha chiarito, innanzitutto, l'assoluta inapplicabilità (e, dunque, inidoneità), a tal fine, della base giuridica costituita dall'obbligo legale (art. 6 paragrafo 1) lettera b) del GDPR), dalla salvaguardia di un interesse vitale di una persona fisica (art. 6 paragrafo 1) lettera d) del GDPR), dall'esercizio di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il Titolare del trattamento (art. 6 paragrafo 1) lettera e) del GDPR) e, infine, dall'esecuzione di un rapporto contrattuale[3] (art. 6 paragrafo 1) lettera b) del GDPR), da leggersi, assieme, alle relative Linee Guida n. 2/2019 del 8.10.2019 a firma dell'EDPB.

Con riguardo, invece, alla base giuridica costituita dal "legittimo interesse" (art. 6 paragrafo 1) lettera f) del GDPR), l'EDPB ha ricordato che, affinché un Titolare del trattamento voglia (e possa) invocarla, devono essere soddisfatte le tre (o meglio, quattro) condizioni (inderogabilmente) sancite dalla relativa disposizione normativa: (i) individuazione di un legittimo interesse, perseguito dal Titolare del trattamento (o da un soggetto terzo); (ii) necessità di trattare i dati personali per il perseguimento del legittimo interesse in questione: in merito, l'EDPB ha precisato che "non è evidente che la conservazione dei dati della carta di credito per facilitare acquisti futuri sia necessaria per perseguire tale legittimo interesse", dato che "l'effettiva conclusione di un altro acquisto dipende dalla scelta del consumatore, e non è determinata dalla possibilità di realizzarla "in un solo clic"; (iii) test di bilanciamento (cd. LIA: Legitimate Interest Assessment) tra il legittimo interesse del Titolare del trattamento (o di un soggetto terzo) e i diritti, gli interessi e le libertà (fondamentali) di un soggetto interessato[4]; (iv) ragionevoli aspettative del soggetto interessato: al riguardo, l'EDPB ha affermato che "sembra poter affermare che al momento dell'acquisto, pur fornendo i dati della carta di credito per il pagamento, l'interessato non preveda ragionevolmente che i dati della sua carta di credito siano conservati più a lungo di quanto necessario per pagare i prodotti o i servizi che sta acquistando".

Alla luce di tali considerazioni, l'EDPB ha sostenuto l'inapplicabilità anche della base giuridica in questione, giacché "è verosimile che i diritti e le libertà fondamentali della persona interessata prevalgano sugli interessi del trattamento".

Infine, l'EDPB ha concluso che il consenso (art. 6 paragrafo 1) lettera a) del GDPR) sembra essere, dunque, l'unica base giuridica idonea ad assicurare la liceità del trattamento di specie, dato che consente, in particolar modo, al relativo soggetto interessato di mantenere il controllo sui propri dati personali, e di decidere, in modo attivo, in merito all'uso degli stessi.




NOTE
----------------------
[1] Cfr. Linee Guida n. 248/2017 del WP Art. 29 (ora, EDPB), ove viene affermato che la violazione dei dati delle carte di credito "implica chiaramente gravi ripercussioni sulla vita quotidiana dell'interessato", in quanto i dati finanziari possono essere utilizzati per effettuare delle "frodi relative ai pagamenti".

[2] Sul punto, l'EDPB ha precisato che "le presenti Raccomandazioni non riguardano gli istituti di pagamento che operano nei negozi online, né le autorità pubbliche. Né tanto meno la conservazione dei dati delle carte di credito per qualsiasi altro scopo, ad esempio per adempiere un obbligo legale o per creare un pagamento ricorrente in caso di contratto ad esecuzione continua o di abbonamento a un servizio a lungo termine (ad esempio, un contratto che prevede la fornitura di un determinato prodotto ogni mese o l'abbonamento a un servizio di fornitura di musica o filmati in streaming)" (cfr., sul tema, anche: Delibera n. 214 del 19.7.2012 del CNIL).

[3] Invece, il trattamento dei dati relativi alla carta di credito, utilizzata dal cliente per pagare, è necessario per l'esecuzione di un rapporto contrattuale, rendendo così applicabile l'art. 6 paragrafo 1) lettera b) del GDPR.

[4] Una componente essenziale del test di bilanciamento è l'impatto potenziale sui diritti e sulle libertà dell'interessato derivante dal trattamento, da valutarsi in base alla natura dei dati, alle modalità specifiche di trattamento e all'accesso a tali dati da parte di soggetti terzi.


















Scritti dell'Autore