Il principio di protezione dei dati dell’UE afferma inequivocabilmente che il trattamento dei dati personali è lecito solo se, e nella misura in cui, è consentito dalla legge applicabile. Qualsiasi giustificazione per il trattamento che il controllore1 dei dati può fornire al di fuori di tale ambito preciso è senza fondamento legale ed è considerata illegale.
Talvolta le organizzazioni ritengono di dover ottenere il consenso degli interessati per trattare i loro dati. Questo può sembrare un onere amministrativo insormontabile, ma ottenere e gestire il consenso non è obbligatorio per tutte le attività di trattamento dei dati personali. Il consenso è solo uno dei tanti modi per legittimare le attività di trattamento quando vengono esaurite altre basi legali per il trattamento dei dati.
Ecco una panoramica delle sei basi giuridiche per il trattamento dei dati, riconosciute dal GDPR:
1. Obblighi legali e conformità legale
La base più severa, precisa, ma anche ottimale per il trattamento dei dati (per quanto riguarda il controllore dei dati) è l’esistenza di almeno una disposizione di legge (considerando 39, 40, 41, articolo 6, paragrafo 1), che richiede (ossia giustifica) la attività di trattamento dei dati. È obbligatorio che i controllori / processori2 forniscano prima o al momento della raccolta dei dati le specifiche dell’atto giuridico e il suo estratto numerato. Per saperne di più sulle differenze tra controllore e processore di dati, leggi l’articolo: Il GDPR dell’UE: controllori a confronto con processori – Quali sono le differenze?
Il considerando 45 e l’articolo 6, paragrafo 1, lettera c), articolo 6, paragrafo 3), estratti del GDPR, consentono il trattamento se è necessario per adempiere a un obbligo legale ai sensi delle leggi dell’UE o di uno Stato membro.
Ci sono molti esempi di queste basi giuridiche: registri di impiego, rapporti sugli incidenti nei registri relativi alla salute e sicurezza, ecc.
2. Adempimento contrattuale
Il riconoscimento del fondamento stesso delle operazioni commerciali (vale a dire gli obblighi contrattuali) è rappresentato dalla base giuridica (considerando 44, articolo 6, paragrafo 1, lettera b)) che consente il trattamento in due scenari. Innanzitutto, se è necessario per stipulare un nuovo contratto o lavorare in base al contratto esistente con l’interessato, il trattamento dei dati è consentito. Il secondo scenario è quando l’interessato avvia delle attività nei confronti del controllore dei dati, nel qual caso il trattamento è consentito anche prima della stipula del contratto. È il caso dell’esecuzione di misure precontrattuali (preparazione o negoziazione prima di stipulare un contratto), in cui il GDPR sottolinea che l’avvio delle fasi di trattamento dovrebbe essere effettuato su richiesta dell’interessato, anziché essere avviato dal controllore.
Un esempio di questo è il trattamento dei dati della carta di credito per eseguire il pagamento. Nei casi in cui un contratto non è ancora esistente, come quando una persona richiede informazioni a un fornitore di servizi su un particolare servizio via e-mail o social network, il trattamento dei dati personali di quella persona è consentito ai fini della risposta alla richiesta.
3. Interessi vitali
In situazioni non contemplate dalla legge specifica e in assenza di un contratto, il trattamento è autorizzato se è necessario per la salvaguardia degli interessi vitali dell’interessato (considerando 46, articolo 6, paragrafo 1, lettera d). La condizione può estendersi ad altre persone (ad esempio i figli dell’interessato).
Si consiglia, tuttavia, di fare attenzione all’applicabilità, in quanto gli “interessi vitali” di solito si applicano solo alle situazioni di vita o di morte. Tali situazioni possono includere servizi di emergenza che ricevono un elenco di nomi e età dei residenti al momento di rispondere a una chiamata di emergenza.
4. Compito di interesse pubblico o connesso all’esercizio di pubblici poteri
Quando l’esecuzione di un compito svolto nell’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito controllore richiede il trattamento di dati personali, è consentito ai sensi del considerando 45; articolo 6, paragrafo 1, lettera e), del GDPR.
Sebbene l’autorizzazione sia concessa di default, il trattamento eseguito su questa base può essere soggetto a obiezione da parte degli interessati. Questa è formalmente riconosciuta, in modo da consentire il riesame delle specifiche della situazione. In sostanza conferisce all’interessato la possibilità di mettere in discussione la definizione di interesse pubblico del controllore. L’obiezione può essere accolta o meno, ma deve essere considerata e deve essere data risposta in modo tempestivo.
Un esempio di questo tipo di trattamento è il caso in cui i partiti politici siano autorizzati a gestire una copia del registro elettorale.
5. Interessi legittimi
Forse la base giuridica più ambigua per il trattamento è il principio degli “interessi legittimi” (considerando 47, 48, articolo 6, paragrafo 1, lettera f)). In breve, offre la possibilità di sviluppare una giustificazione per il trattamento di dati che non rientrano nei modelli giuridici di cui sopra. Questa giustificazione consentirà il trattamento dei dati evitando la gestione del consenso degli interessati. Può riguardare sia il controllore dei dati sia il terzo a cui i dati verranno comunicati.
Tuttavia, ciò si applica solo in situazioni in cui gli interessi, i diritti o le libertà degli interessati non prevalgono sugli interessi del controllore. Al fine di confrontare questi gruppi di interessi potenzialmente opposti, i controllori devono condurre una cosiddetta “valutazione comparata” (che sarà oggetto di un articolo separato).
Il GDPR fornisce vaghe descrizioni di possibili scenari, che si inseriscono nella base di interessi legittimi. Gli esempi includono: determinati rapporti con i clienti o relativi al servizio tra l’interessato e il controllore (con limitazioni relative ai contratti di lavoro e alle autorità pubbliche). Sono inoltre comprese le procedure per prevenire le frodi, nonché la trasmissione di dati personali all’interno delle imprese dei controllori dei dati o delle istituzioni affiliate a un organismo centrale a fini amministrativi interni. Questo può includere l’elaborazione dei dati personali dei clienti o dei dipendenti.
6. Il consenso dell’interessato
Infine, per gli scenari che non rientrano in nessuna delle categorie di cui sopra, ai controllori dei dati rimane in ultima istanza di ottenere il permesso per il trattamento dei dati personali, ossia il consenso degli interessati (considerando 32, 42, 43; articolo 6, paragrafo 1, lettera a)).
Il consenso deve essere esclusivo, riflettente l’azione discrezionale dell’interessato, una risposta positiva prestata liberamente alla descrizione ben strutturata e non ambigua dell’attività di trattamento. Il principio di “opt-in” è obbligatorio, il che significa che nessuna elaborazione può aver luogo fino a quando il consenso non sia assicurato. Il controllore deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali, il che richiede l’esistenza di una catena di controllo.
Ciò che rende questa base giuridica meno allettante sono i requisiti del GDPR per la validità dell’ottenimento e della gestione del consenso e il fatto che, una volta che questo sia stato dato, il consenso può essere ritirato in qualsiasi momento e con lo stesso livello di facilità con cui è stato fornito.
Il GDPR richiede la verifica dell’età di un minore e di assicurarsi il consenso del titolare della responsabilità genitoriale per l’attività di trattamento dei dati (con alcune eccezioni). A seconda dell’età del minore, potrebbe essere obbligatorio presentare le informazioni relative al trattamento dei dati anche al minore, in un linguaggio semplice facilmente comprensibile al minore.
Uno degli scenari più comuni in cui la gestione del consenso è obbligatoria e non può essere evitata è la raccolta delle informazioni di contatto degli interessati per scopi di marketing come le newsletter via e-mail. Non essendo regolato da alcuna legge o conformità legale, né rientrando in alcuna delle categorie sopra indicate, il trattamento dei dati personali per il semplice miglioramento delle prospettive commerciali del controllore è consentito solo con un consenso verificabile e valido.
Così tante scelte, così poco tempo …
Tenendo a mente tutti questi fatti, le organizzazioni che agiscono come controllori dei dati dovrebbero eseguire un riesame dettagliato di tutte le loro attività di trattamento dei dati. Per ognuna di questi, deve essere determinata una base legale, oltre a mantenere la documentazione obbligatoria ai fini della conformità.
La maggior parte delle organizzazioni dovrebbe cercare di evitare l’uso del consenso, al fine di mitigare il rischio di negazione e recesso, ma questa strategia evasiva non funzionerà in tutte le condizioni legali. Per ognuna delle sei basi, è assolutamente necessaria la definizione del trattamento legalmente fondata e comunicata in modo trasparente.
Clicca qui per scaricare il Piano di Progetto per conformarsi al Regolamento Generale Europeo sulla Protezione dei Dati per imparare come essere conformi a tutti i requisiti del GDPR.
1 Si utilizza qui e di seguito il termine non ufficiale “Controllore” invece di quello ufficiale “Titolare del trattamento” riportato nel testo dell’UE, in quanto più intuitivo
2 Si utilizza qui e di seguito il termine non ufficiale “Processore” invece di quello ufficiale “Responsabile del trattamento” riportato nel testo dell’UE, in quanto più intuitivo