Temi

Shape 5 Live Search

logo

Come la precedente normativa, anche il regolamento generale europeo (GDPR) stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica. 

Il titolare del trattamento ha l'obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. Cioè, non è libero di scegliere la base giuridica che preferisce, ma deve deve rispettare le condizioni previste dal GDPR rispetto alle caratteristiche di ciascuna delle basi indicate nell’art. 6 ed essere sempre in grado di dimostrare la correttezza della scelta fatta. 
L'articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito

 

1) Consenso

Il consenso dell'interessato autorizza il trattamento dei dati. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l'informativa e garantire la portabilità dei dati

In realtà le autorità di protezione incoraggiano attivamente le imprese a superare l'intero processo di acquisizione del consenso per il trattamento dei dati personali. Questo perché il "consenso" non è ritenuto affidabile, nel senso che poche persone in realtà prendono una decisione "specifica, informata ed inequivocabile". Ben pochi, infatti, leggono le informative in materia. Il consenso è ritenuto, quindi, un onere per le imprese difficile da attuare per come è configurato. Le persone non vogliono essere bombardate dagli odiosi cookie banner, e comunque un banner dovrebbe contenere molte più informazioni di quante generalmente ne contiene, degradando enormemente l'esperienza di navigazione online. 
Ecco perchè esistono molti casi nei quali la base giuridica del trattamento è diversa dal consenso. 

Teniamo presente, inoltre, che il regolamento europeo supera la vecchia prospettiva della visione proprietaria del dato, per il cui trattamento occorre il consenso, passando ad un prospettiva di controllo del dato, in base alla quale l'interessato deve sapere se i suoi dati sono usati e se sono usati in modo da proteggerlo dai rischi che il trattamento può provocare. 

 

2) Adempimento di obblighi contrattuali

Il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso. Sostanzialmente è una forma speciale di consenso. Occorre ovviamente l'informativa, e deve essere garantita la portabilità dei dati

 

3) Obblighi di legge cui è soggetto il titolare del trattamento

Nel caso di trattamento dei dati necessario per l'adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria (come il trattamento per l'attività giornalistica) non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità deve essere specificata per legge. 

 

4) Interessi vitali della persona interessata o di terzi

Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, come nel caso di un incidente stradale oppure se l'interessato si trova nell'incapacità fisica di prestare il consenso (una persona si sente male mentre si trova nel vostro ufficio, questa base giuridica consente di trattare i suoi dati al fine di chiamare un'ambulanza). Si può utilizzare come base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione. In questo caso non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. 

 

5) Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati

Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. 

 

6)  Interesse pubblico o esercizio di pubblici poteri

Il trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (tramite legge statale o dell'Unione) non richiede consenso, né si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. La finalità deve essere specificata per legge. 

 

Nei casi di esenzione da consenso, ovviamente, l'informativa sulla privacy dovrà riportare non la dicitura "accetto l'informativa sulla privacy", bensì la più corretta "ho letto l'informativa sulla privacy", al fine di evitare l'assunzione di responsabilità in base al GDPR.

 basi giuridiche