Principi generali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, come di seguito indicati:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;

  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;

  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;

  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;

  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;

  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Liceità

Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

Le BASI GIURIDICHE su cui poggia il trattamento dei dati riguardanti il soggetto interessato sono 6 (sei) e nello specifico sono:

  1. consenso;

  2. adempimento obblighi contrattuali;

  3. interessi vitali della persona interessata o di terzi;

  4. obblighi di legge cui è soggetto il titolare;

  5. interesse pubblico o esercizio di pubblici poteri;

  6. interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Dato personale

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

 

Particolarmente importanti sono:

 

• i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);

 

• i dati rientranti in particolari categorie: si tratta dei dati c.d. "particolari", ex sensibili, cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;

 

• i dati relativi a condanne penali e reati: si tratta dei dati c.d. "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

 

Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

 

 

Dati particolari e personali

Per le “categorie particolari di dati personali” (articolo 9 del Regolamento), è previsto che il loro trattamento sia vietato, tranne nel caso in cui il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, come di seguito riportate:

  1. l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;

  2. il trattamento è effettuato da organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;

  3. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

  4. trattamenti di dati personali effettuati da società per attività di telemarketing. In generale, poi, verranno verificati i presupposti di liceità del trattamento e le condizioni per il consenso qualora il trattamento sia basato su tale presupposto, il rispetto dell’obbligo di informativa nonché la durata della conservazione dei dati.

  5. il trattamento è necessario per uno dei seguenti scopi:

  • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;

  • per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

  • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

  • per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;

  • per finalità di medicina preventiva o di medicina del lavoro;

  • per motivi di interesse pubblico nel settore della sanità pubblica;

  • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

L'informativa

Il GDPR prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12). Ciò avviene tramite l'informativa.

L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informare sulle finalità e le modalità dei trattamenti operati dal Titolare del trattamento.

Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione (privacy by design e default) dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).

L'informativa ha anche lo scopo di permettere che l'interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l'informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso. 

L’informativa ( artt. 13 e 14 del Regolamento) deve essere fornita all’interessato PRIMA di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

In particolare l’informativa deve contenere tutte le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

  • i dati di contatto del Responsabile della protezione dei dati, quando previsto;

  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

  • qualora il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;

Oltre a queste informazioni, nel momento in cui sono stati ottenuti i dati dall’interessato, il titolare del trattamento deve dare le seguenti ulteriori indicazioni:

  • il periodo di conservazione dei dati;

  • l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale;

  • il diritto dell’interessato di proporre reclamo ad un’autorità di controllo;

  • l’esistenza di un processo automatizzato, compresa la profilazione, e l’indicazione delle logiche utilizzate, dell’importanza e delle conseguenze del trattamento;

  • il diritto di accesso ai dati da parte dell’interessato;

  • il diritto di rettifica e di cancellazione,

  • la limitazione del trattamento o l’opposizione allo stesso;

  • il diritto alla portabilità;

  • il diritto di revoca del consenso.

Modalità dell'informativa

L'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato (Considerando 39), eventualmente anche utilizzando immagini o icone. L'informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Se richiesto dall'interessato l'informativa va data oralmente (purché sia comprovata con altri mezzi l'identità dell'interessato). E' preferibile fornirla in forma tale da provarne l'esistenza e per consentire alle autorità di vigilanza di verificarne la completezza e correttezza.  

E' ammessa la possibilità di pubblicare l'informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea. Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l'invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online.