Privacy

Il regolamento afferma che ogni trattamento deve trovare fondamento su un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati dall’art. 6 del regolamento e coincidono con quelli previsti attualmente dal Codice della Privacy (D.Lgs. 196/2003) in particolare per quel che riguarda:

  • il consenso;
  • l’adempimento agli obblighi contrattuali;
  • gli interessi vitali della persona interessata o di terzi;
  • gli obblighi di legge a cui è soggetto il titolare;
  • l’interesse pubblico o l’esercizio di pubblici poteri;
  • l’interesse legittimo prevalente del titolare o dei terzi cui i dati vengono comunicati.

Cosa cambia e cosa non cambia riguardo il consenso?

Per i dati “sensibili”, come spiegato dall’art. 9 del regolamento, il consenso deve essere “esplicito”, lo stesso dicasi per il consenso a decisioni basate su trattamenti autorizzati.

Il consenso non deve essere necessariamente documentato per iscritto, anche se questa è generalmente identificata come idonea a configurare l’inequivocabilità del consenso ed il suo essere “esplicito”; inoltre il titolare (secondo l’art. 71) deve essere in grado di dimostrare che l’interessato ha prestato il consenso ad uno specifico trattamento dei suoi dati sensibili.

Il consenso dei minori è valido a partire dal sedicesimo anno d’età, prima di tale età è obbligatorio raccogliere il consenso dei genitori o di chi ne fa le veci.

Il consenso, in tutti i casi, deve essere libero, specifico, informato ed inequivocabile, non è ammesso il tacito consenso (o presunto), e non sono ammesse, ad esempio, caselle pre-spuntate in un modulo.

Deve quindi essere manifestato tramite una dichiarazione o tramite una azione inequivocabile (art. 39 e 42 del regolamento).

E’ bene specificare che:

  • il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche indicate sopra, altrimenti è necessario adoperarsi per raccogliere nuovamente il consenso degli interessati se si vuol continuare a far ricorso ad una base giuridica;
  • occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre dichiarazioni rivolte all’interessato (art. 7.2) per esempio all’interno di modulistica.
  • è necessario prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice e chiara;
  • i soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (art. 9 ed altre disposizioni del Codice della Privacy negli articoli 18 e 20).

Cosa cambia riguarda l’interesse vitale di un terzo?

Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione.

Cosa cambia e cosa non cambia riguardo l’interesse legittimo prevalente di un titolare o di un terzo?

Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità, ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto dati.

Non cambia, invece, l’interesse legittimo o del terzo che deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

Inoltre il regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce una idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.