Obbligo legale come base giuridica

Obbligo legale come base giuridica

L'obbligo legale al quale è soggetto il titolare del trattamento è una delle legittime basi giuridiche previste dall'articolo 6 del Regolamento europeo per il trattamento dei dati personali (GDPR). 

Affinché sia applicabile tale base giuridica occorre soddisfare le seguenti condizioni: 
- l'obbligo legale deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento (in base all'art. 2-ter del Codice Privacy, solo norme di legge o, nei casi previsti dalla legge, di regolamento);
- le disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali; 
- le disposizioni devono almeno definire le finalità del trattamento in questione;
- l'obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento. 

Ad esempio la comunicazione dei dati alle autorità compententi ai sensi delle norme antiriciclaggio è giustificata in base all'obbligo legale, 

L'obbligo legale deve essere valido e vincolante per il titolare del trattamento, ma comunque vanno rispettati anche gli altri principi della materia, come ad esempio il principio di necessità e di minimizzazione dei dati, nonché quello di finalità. Per cui il trattamento di dati ulteriori rispetto a quelli strettamente necessari per rispettare la norma di legge ne determina l'illiceità. L'obbligo deve essere sufficientemente chiaro e preciso, nel senso di intellegibile e tale da non consentire una discrezionalità al titolare del trattamento. 

Utilizzando tale bae giuridica occorre informare compiutamente gli interessati, tramite l'informativa. Non occorre garantire la portabilità dei dati. I trattamenti basati sull'obbligo legale non sono soggetti al meccanismo di cooperazione dello sportello unico (one stop shop), per cui il Garante nazionale rimane il solo competente. 

Il trattamento di dati personali relativi a condanne penali e reati o a connesse misure di sicurezza (art. 10 GDPR) deve avvenire soltanto:
- sotto il controllo dell’autorità pubblica; o
- se autorizzato dal diritto UE o da quello degli Stati membri che preveda garanzie appropriate per diritti e libertà degli interessati.
L'art. 2-octies del Codice Privacy precisa che tale trattamento è ammesso solo:
- se autorizzato da una norma di legge o,nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati (fatto salvo il D.Lgs. 51/2018);
- in mancanza, decreto del Ministro della giustizia.

Un caso differente si ha se un'autorità stabilisce orientamenti politici generali (per esempio destinati agli istituti finanziario su criteri di diligenza), nel qual caso il trattamento difficilmente rientrerebbe nell'obbligo legale, molto più probabilmente nell'ambito dei legittimi interessi del titolare del trattamento