Il regolamento generale europeo 679/2016 stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica.
La base giuridica è ciò che autorizza legalmente il trattamento così soddisfacendo il principio di liceità.
In assenza di una base legale il trattamento è illecito.
Nello specifico, il titolare del trattamento ha l’obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. Quindi, non è libero di scegliere la base giuridica che preferisce, ma deve necessariamente rispettare le condizioni previste dal GDPR in relazione alle caratteristiche di ciascuna delle basi indicate nell’art. 6, ed essere sempre in grado di dimostrare la correttezza della scelta fatta.
Ogni base giuridica, infatti, obbedisce a condizioni specifiche e ha differenti conseguenze sui diritti delle persone.
La base giuridica deve essere indicata nell’informativa rivolta agli utenti. Inoltre, è utile documentare la scelta della base giuridica e menzionarla nel registro dei trattamenti, secondo il principio di accountability. Per il trattamento dei dati di cui all’art. 9 (dati sensibili), oltre ad individuare una corretta base giuridica, occorre fare riferimento alle condizioni previste nell’articolo indicato.
Si precisa che, l’individuazione delle base giuridica corretta è di fondamentale importanza per una azienda. Se non vengono rispettate le disposizioni contenute nel Regolamento l’azienda rischia di subire delle sanzioni.
ARTICOLO 6 Reg. 679/2016
L’articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito.
A tal proposito, è importante evidenziare che, tranne per il consenso, l’articolo fa riferimento sempre al criterio di “necessità” (se il trattamento è necessario per…) che deve essere interpretato in maniera restrittiva.
Quando vengono trattati i dati personali è necessario identificare quale base giuridica giustifica il trattamento, vale a dire l’indicazione delle condizioni che legittimano il trattamento dei dati personali.
Le basi giuridiche legittime previste dalla GDPR sono:
- il consenso dell’interessato: quando il trattamento dei dati viene esplicitamente autorizzato dall’interessato per una o più specifiche finalità. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l’informativa e garantire la portabilità dei dati.
- esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall’interessato. Occorre ovviamente l’informativa, e deve essere garantita la portabilità dei dati;
- adempimento obbligo di legge: questo obbligo deve soddisfare quattro condizioni:
- deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento;
- tali disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali, sufficientemente chiaro e preciso;
- tali disposizioni devono almeno definire le finalità del trattamento in questione;
- tale obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento. Nel caso di trattamento dei dati necessario per l’adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l’informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità è specificata dalla legge. I trattamenti basati sull’obbligo legale non sono soggetti al meccanismo di cooperazione dello sportello unico (one stop shop), per cui il Garante nazionale rimane il solo competente.
- interesse legittimo del Titolare: quando il trattamento è necessario per esigenze specifiche del titolare a condizione però che il trattamento non sia eccessivamente invasivo per l’interessato (ad esempio, per installare un sistema di videosorveglianza);
- interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell’interessato o di un’altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell’interessato);
- esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile).
CONCLUSIONI
Alla luce di quanto esposto, possiamo affermare che:
- la scelta delle basi di liceità del trattamento è fondamentale affinché il trattamento stesso sia valido fin dall’origine;
- il titolare del trattamento non ha ampia discrezionalità nella scelta, ma dovrà valutare qual è la base giuridica più idonei a giustificare il trattamento del dato;
- non sempre l’utilizzo del consenso, così come anche l’esecuzione di un contratto, vale come panacea per la validità del trattamento;
- il legittimo interesse costituisce un’ottima base di liceità di trattamento ma solo se utilizzata secondo i canoni, seppur ancora non particolarmente chiari, indicati da normativa.
Area Privacy Meleam
Se necessiti di sapere cosa sia il consenso in ambito privacy, contatta Meleam al 800 621 247.