Temi

Shape 5 Live Search

logo

Come la precedente normativa, anche il regolamento generale europeo (GDPR) stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica. 

La base giuridica è ciò che autorizza legalmente il trattamento. In assenza di una base legale il trattamento è illecito. 

Il titolare del trattamento ha l'obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere, e questo prima di iniziare il trattamento. Cioè, non è libero di scegliere la base giuridica che preferisce, ma deve deve rispettare le condizioni previste dal GDPR in relazione alle caratteristiche di ciascuna delle basi indicate nell’art. 6, ed essere sempre in grado di dimostrare la correttezza della scelta fatta. Ogni base giuridica, infatti, obbedisce a condizioni specifiche, e ha differenti conseguenze sui diritti delle persone. Ovviamente non esiste una gerarchia tra le diverse basi giuridiche. 

La base giuridica deve essere indicata nell'informativa rivolta agli utenti. Inoltre è utile documentare la scelta della base giuridica, e menzionare la base giuridica nel registro dei trattamenti. Per il trattamento dei dati di cui all'art. 9 (una volta dati sensibili), oltre ad individuare una corretta base giuridica, occorre fare riferimento alle eccezioni previste nell'articolo indicato. 

L'articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito

 

1) Consenso

Il consenso dell'interessato autorizza il trattamento dei dati. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l'informativa e garantire la portabilità dei dati

In realtà le autorità di protezione incoraggiano attivamente le imprese a superare l'intero processo di acquisizione del consenso per il trattamento dei dati personali. Questo perché il "consenso" non è ritenuto affidabile, nel senso che poche persone in realtà prendono una decisione "specifica, informata ed inequivocabile". Ben pochi, infatti, leggono le informative in materia. Il consenso è ritenuto, quindi, un onere per le imprese difficile da attuare per come è configurato. Le persone non vogliono essere bombardate dagli odiosi cookie banner, e comunque un banner dovrebbe contenere molte più informazioni di quante generalmente ne contiene, degradando enormemente l'esperienza di navigazione online. 
Ecco perchè esistono molti casi nei quali la base giuridica del trattamento è diversa dal consenso. 

Teniamo presente, inoltre, che il regolamento europeo supera la vecchia prospettiva della visione proprietaria del dato, per il cui trattamento occorre il consenso, passando ad un prospettiva di controllo del dato, in base alla quale l'interessato deve sapere se i suoi dati sono usati e se sono usati in modo da proteggerlo dai rischi che il trattamento può provocare. 

Leggi l'approfondimento -> Consenso al trattamento

 

2) Adempimento di obblighi contrattuali

Il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso. Sostanzialmente è una forma speciale di consenso. Occorre ovviamente l'informativa, e deve essere garantita la portabilità dei dati

 

3) Obblighi di legge cui è soggetto il titolare del trattamento

L'obbligo legale deve soddisfare quattro condizioni
- deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento; 
- tali disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali, sufficientemente chiaro e preciso; 
- tali disposizioni devono almeno definire le finalità del trattamento in questione; 
- tale obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento. 

Nel caso di trattamento dei dati necessario per l'adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria (come il trattamento per l'attività giornalistica) non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità è specificata dalla legge. I trattamenti basati sull'obbligo legale non sono soggetti al meccanismo di cooperazione dello sportello unico (one stop shop), per cui il Garante nazionale rimane il solo competente. 

Può riguardare anche organizzazioni private. L'organizzazione deve comunque garantire che non vi sia un metodo più invasivo per raggiungere lo scopo. Ad esempio, il datore di lavoro può utilizzare sistemi meno invasivi, rispetto alla videosorveglianza, per garantire la sicurezza dei lavoratori

 

4) Interessi vitali della persona interessata o di terzi

Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, come nel caso di un incidente stradale oppure se l'interessato si trova nell'incapacità fisica di prestare il consenso (una persona si sente male mentre si trova nel vostro ufficio, questa base giuridica consente di trattare i suoi dati al fine di chiamare un'ambulanza). Si può utilizzare come base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione. In questo caso non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. 

 

5) Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati

Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.

Si rinvia all'approfondimento -> Trattamenti basati sui legittimi interessi del titolare

 

6)  Interesse pubblico o esercizio di pubblici poteri

Questa base giuridica si applica in particolare per il trattamento effettuato dalle autorità pubbliche necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (tramite legge statale o dell'Unione). E' la norma giuridica (legge, regolamento o decreto) che deve indicare i compiti, e quindi l'interesse pubblico. Può riguardare anche organizzazioni private che svolgono compiti di interesse pubblico. 

Non richiede consenso, né si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. Anche in questo caso i trattamenti non sono soggetti al meccanismo di cooperazione dello sportello unico (one stop shop), per cui il Garante nazionale rimane il solo competente. 

 

Nei casi di esenzione da consenso, ovviamente, l'informativa sulla privacy dovrà riportare non la dicitura "accetto l'informativa sulla privacy", bensì la più corretta "ho letto l'informativa sulla privacy", al fine di evitare l'assunzione di responsabilità in base al GDPR.

 basi giuridiche