unione europea

I dati personali devono essere trattati, in primo luogo, in modo lecito.

Ma cosa significa concretamente liceità di un trattamento?

Sul punto interviene l’art. 6 del GDPR, che ricalca per lo più la disciplina già introdotta nel nostro ordinamento dal Codice della Privacy e stabilisce che il trattamento di dati personali è effettuato in modo lecito soltanto al ricorrere di almeno una delle condizioni espressamente previste dallo stesso articolo. Questi presupposti di liceità sono:

  • il consenso esplicito dell’interessato al trattamento per finalità determinate dei propri dati;
  • l’adempimento di obblighi assunti con un contratto di cui l’interessato è parte o l’esecuzione di attività precontrattuali dallo stesso richieste;
  • l’adempimento di obblighi imposti dalla legge in capo al titolare;
  • la tutela di interessi essenziali per la vita dell’interessato o di soggetti terzi (si pensi, ad esempio, a casi di trattamento a fini umanitari o in caso di epidemie);
  • rilevanti motivi di interesse pubblico correlati all’esercizio di pubblici poteri;
  • il perseguimento di un interesse legittimo del titolare o di un’altra persona fisica ritenuto prevalente sui diritti e sulle libertà fondamentali dell’interessato, realizzabile attraverso il trattamento di dati personali.

Quando si parla di liceità del trattamento viene dunque in gioco, in primo luogo, il consenso che il titolare deve acquisire dalla persona a cui i dati personali trattati si riferiscono: consenso affinché i suoi dati personali siano raccolti ed utilizzati secondo le procedure, per le finalità e per il periodo riportati chiaramente nell’informativa. L’applicazione del Regolamento non comporterà in automatico l’illiceità del consenso acquisito in precedenza sotto il Codice della Privacy: il consenso già ricevuto rimarrà valido qualora rispetti tutti i requisiti richiesti dal GDPR. Vediamo allora quali sono gli elementi rilevanti.

Per prima cosa, il consenso ai sensi del GDPR, come richiesto già dal Codice della Privacy, deve sempre essere specifico, libero e inequivocabile: non è corretto e comporta una violazione del GDPR, quindi, l’utilizzo di caselle pre-spuntate sui moduli – siano cartacei o informatici – o di un’unica casella comprensiva di trattamenti aventi diverse finalità (ad esempio, adempimento del contratto e invio di newsletter). L’interessato infatti deve avere la possibilità di fare una scelta veramente autonoma e di poter rifiutare (o eventualmente revocare) il consenso senza subire conseguenze negative. In particolare, la richiesta di consenso deve essere chiara e facilmente identificabile e non deve confondersi con altre comunicazioni rivolte all’interessato (deve, cioè, essere chiaramente distinguibile da altre richieste).

Il GDPR, inoltre, richiede espressamente che per il trattamento di dati sensibili (come previsto dall’art. 9 GDPR: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona […] a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche”) e in caso di trattamenti automatizzati il consenso debba essere esplicito. Si noti che questa seconda categoria ricomprende anche le operazioni di profilazione (ai sensi dell’art. 22 GDPR: “1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 2. Il paragrafo 1 non si applica nel caso in cui la decisione: […] c) si basi sul consenso esplicito dell’interessato”).

Un’altra novità è introdotta con riguardo all’età dell’interessato. L’art. 8 del GDPR, infatti, precisa che il consenso rilasciato dall’interessato è valido (e, di conseguenza, il trattamento su di esso fondato è lecito) a partire dai 16 anni di età. Questa regola comporta che, in presenza di un soggetto di età inferiore ai 16 anni, i titolari dovranno ricevere il consenso al trattamento dai genitori o da chi fa le veci del minore.

Infine, il GDPR non pretende che il consenso sia rilasciato in forma scritta. D’altra parte, questa sarà in linea di massima la modalità più idonea ed opportuna per raccogliere il consenso dell’interessato, non solo quando si richiede che lo stesso sia esplicito (come in caso di profilazione), ma anche perché è comunque il titolare a doverne dimostrare l’inequivocabilità e la specialità (e avere traccia scritta del consenso rilasciato sarà sicuramente d’aiuto a tal fine).

Un’altra condizione di liceità che ricorre di frequente nella prassi è dato dall’interesse legittimo di un titolare o di un terzo che prevale sui diritti e sulle libertà fondamentali dell’interessato (ipotesi prevista dall’art. 6, co. 1, lett. f, GDPR). E qui il Regolamento introduce una novità particolarmente rilevante, in linea con l’impostazione complessiva della normativa di responsabilizzazione dei titolari: difatti, il bilanciamento tra interesse del terzo e diritti dell’interessato spetta direttamente al titolare del trattamento e non all’Autorità pubblica. Poiché garantire e dimostrare il rispetto delle condizioni di liceità stabilite dal GDPR è onere del titolare, è a quest’ultimo che spetta anche il compito di effettuare i dovuti bilanciamenti con altri diritti, eventualmente rilevanti, dell’interessato o di terzi e di provare su tali basi la liceità dei trattamenti svolti.

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.