Come la precedente normativa, anche il regolamento generale europeo (GDPR) stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica.
La base giuridica è ciò che autorizza legalmente il trattamento così soddisfacendo il principio di liceità. In assenza di una base legale il trattamento è illecito.
Il titolare del trattamento ha l'obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere, e questo prima di iniziare il trattamento. Cioè, non è libero di scegliere la base giuridica che preferisce, ma deve deve rispettare le condizioni previste dal GDPR in relazione alle caratteristiche di ciascuna delle basi indicate nell’art. 6, ed essere sempre in grado di dimostrare la correttezza della scelta fatta. Ogni base giuridica, infatti, obbedisce a condizioni specifiche, e ha differenti conseguenze sui diritti delle persone. Ovviamente non esiste una gerarchia tra le diverse basi giuridiche. In particolare la base giuridica non si trasmette da un titolare all'altro, in caso di titolari congiunti, quindi, ogni titolare deve stabilire e giustificare la propria base giuridica perché il trattamento sia lecito.
La base giuridica deve essere indicata nell'informativa rivolta agli utenti. Inoltre è utile documentare la scelta della base giuridica, e menzionare la base giuridica nel registro dei trattamenti. Per il trattamento dei dati di cui all'art. 9 (dati sensibili), oltre ad individuare una corretta base giuridica, occorre fare riferimento alle condizioni previste nell'articolo indicato.
L'articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito. E' importante evidenziare che, tranne per il consenso, l'articolo fa riferimento sempre al criterio di "necessità" (se il trattamento è necessario per...) che deve essere interpretato in maniera restrittiva. Il consenso è una base giuridica che si basa sull'autodeterminazione del singolo, a differenza delle altri basi che entrano in gioco quando è opportuno e necessario trattare dati personali in uno specifico contesto, subordinatamente a garanzie adeguate.
1) Consenso dell'interessato
Il consenso dell'interessato autorizza il trattamento dei dati. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l'informativa e garantire la portabilità dei dati.
Le autorità di protezione dei dati incoraggiano attivamente le imprese a superare l'intero processo di acquisizione del consenso per il trattamento dei dati personali. Questo perché il "consenso" non è ritenuto affidabile, nel senso che poche persone in realtà prendono una decisione "specifica, informata ed inequivocabile". Ben pochi, infatti, leggono le informative in materia. Il consenso è ritenuto, quindi, un onere per le imprese difficile da attuare per come è configurato. Le persone non vogliono essere bombardate dagli odiosi cookie banner, e comunque un banner dovrebbe contenere molte più informazioni di quante generalmente ne contiene, degradando enormemente l'esperienza di navigazione online. Ecco perchè esistono molti casi nei quali la base giuridica del trattamento è diversa dal consenso.
Teniamo presente, inoltre, che il regolamento europeo supera la vecchia prospettiva della visione proprietaria del dato, per il cui trattamento occorre il consenso, passando ad un prospettiva di controllo del dato, in base alla quale l'interessato deve sapere se i suoi dati sono usati e se sono usati in modo da proteggerlo dai rischi che il trattamento può provocare.
Si rinvia all'approfondimento -> Consenso al trattamento dei dati personali
2) Esecuzione di un contratto o di misure precontrattuali
Il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso interessato. Il trattamento dei dati personali non realmente necessario per l'esecuzione del contratto non può utilizzare questa base giuridica, il criterio di necessità deve ritenersi soddisfatto solo se il contratto non può essere integralmente eseguito senza il trattamento dei dati (Tribunale amministrativo dell'Austria).
Si rinvia all'approfondimento -> Esecuzione di un contratto o misure precontrattuali
3) Obbligo legale al quale è soggetto il titolare del trattamento
L'obbligo legale è un'altra delle basi giuridiche previste dalla norma. Esso deve soddisfare quattro condizioni:
- deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento (in base all'art. 2-ter del Codice Privacy, solo norme di legge o, nei casi previsti dalla legge, di regolamento);
- tali disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali, sufficientemente chiaro e preciso;
- tali disposizioni devono almeno definire le finalità del trattamento in questione;
- tale obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento.
Si rinvia all'approfondimento -> Obbligo legale come base giuridica
4) Interessi vitali della persona interessata o di terzi
Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, come nel caso di un incidente stradale oppure se l'interessato si trova nell'incapacità fisica di prestare il consenso (una persona si sente male mentre si trova nel vostro ufficio, questa base giuridica consente di trattare i suoi dati al fine di chiamare un'ambulanza). L’interesse deve essere così importante per la vita dell’interessato che questi consentirebbe di porre in essere un determinato trattamento di dati senza ulteriori presupposti.
Si può utilizzare come base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione. In questo caso non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.
5) Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati
Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.
E' da notare che questa base giuridica prevede espressamente un test comparativo tra gli interessi delle parti in causa, da un lato il titolare, oppure i terzi ai quali i dati saranno comunicati, dall'altro gli interessati. Se il test stabilisce la prevalenza degli interessi degli interessati il trattamento non può essere eseguito.
Si rinvia all'approfondimento -> Trattamenti basati sui legittimi interessi del titolare
6) Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri
Questa base giuridica si applica in particolare per il trattamento effettuato dalle autorità pubbliche necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (tramite legge statale o dell'Unione). E' la norma giuridica (legge, regolamento o decreto) che deve indicare i compiti, e quindi l'interesse pubblico. Può riguardare anche organizzazioni private che svolgono compiti di interesse pubblico.
Si rinvia all'approfondimento -> Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri