Il regolamento afferma che ogni trattamento deve trovare fondamento su un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati dall’art. 6 del regolamento e coincidono con quelli previsti attualmente dal Codice della Privacy (D.Lgs. 196/2003) in particolare per quel che riguarda:
- il consenso;
- l’adempimento agli obblighi contrattuali;
- gli interessi vitali della persona interessata o di terzi;
- gli obblighi di legge a cui è soggetto il titolare;
- l’interesse pubblico o l’esercizio di pubblici poteri;
- l’interesse legittimo prevalente del titolare o dei terzi cui i dati vengono comunicati.
Cosa cambia e cosa non cambia riguardo il consenso?
Per i dati “sensibili”, come spiegato dall’art. 9 del regolamento, il consenso deve essere “esplicito”, lo stesso dicasi per il consenso a decisioni basate su trattamenti autorizzati.
Il consenso non deve essere necessariamente documentato per iscritto, anche se questa è generalmente identificata come idonea a configurare l’inequivocabilità del consenso ed il suo essere “esplicito”; inoltre il titolare (secondo l’art. 71) deve essere in grado di dimostrare che l’interessato ha prestato il consenso ad uno specifico trattamento dei suoi dati sensibili.
Il consenso dei minori è valido a partire dal sedicesimo anno d’età, prima di tale età è obbligatorio raccogliere il consenso dei genitori o di chi ne fa le veci.
Il consenso, in tutti i casi, deve essere libero, specifico, informato ed inequivocabile, non è ammesso il tacito consenso (o presunto), e non sono ammesse, ad esempio, caselle pre-spuntate in un modulo.
Deve quindi essere manifestato tramite una dichiarazione o tramite una azione inequivocabile (art. 39 e 42 del regolamento).
E’ bene specificare che:
- il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche indicate sopra, altrimenti è necessario adoperarsi per raccogliere nuovamente il consenso degli interessati se si vuol continuare a far ricorso ad una base giuridica;
- occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre dichiarazioni rivolte all’interessato (art. 7.2) per esempio all’interno di modulistica.
- è necessario prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice e chiara;
- i soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (art. 9 ed altre disposizioni del Codice della Privacy negli articoli 18 e 20).
Cosa cambia riguarda l’interesse vitale di un terzo?
Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione.
Cosa cambia e cosa non cambia riguardo l’interesse legittimo prevalente di un titolare o di un terzo?
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità, ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto dati.
Non cambia, invece, l’interesse legittimo o del terzo che deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.
Inoltre il regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce una idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.