Le basi giuridiche

Il Regolamento europeo (art 6) prevede che un trattamento di dati personali deve trovare fondamento in una base giuridica.

Il titolare del trattamento ha l'obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. Ciò significa che, non è libero di scegliere la base giuridica che preferisce, ma deve rispettare le condizioni previste dal GDPR con riferimento alle caratteristiche di ciascuna delle basi indicate nell’art. 6 ed essere sempre in grado di dimostrare la correttezza della scelta fatta.

Nel dettaglio le basi giuridiche sono 6:

1) Il consenso

Il consenso dell'interessato autorizza il trattamento dei dati. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l'informativa e garantire la portabilità dei dati.

Il "consenso" però non è ritenuto affidabile, nel senso che difficilmente si riesce a decidere cosa si voglia fare in modalità "specifica, informata ed inequivocabile".

Ecco perchè esistono molti casi nei quali la base giuridica del trattamento è diversa dal consenso.

Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso).

La validità dello stesso sussiste se:

  • all'interessato è stato informato sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);

  • è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse.

Il consenso deve essere SEMPRE revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

IL CONSENSO DEVE ESSERE:

1. Inequivocabile

può anche essere implicito (ma non tacito), purché non ci sia alcun dubbio circa il fatto che l’interessato, con il proprio comportamento o con le proprie azioni, abbia voluto dare il proprio consenso Il consenso deve essere sempre esplicito quando si trattino dati particolari o nel caso di processi decisionali automatizzati (vedi profilazione).

2. Manifestato liberamente

nel dare il proprio consenso i’interessato deve essere in grado di fare una scelta voluta e conscia, senza subire inganni, minacce o ricatti e né ci deve essere il timore che, non dando il proprio consenso, si possa subire delle conseguenze negative. A tal proposito l’articolo 7 afferma che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

3. Specifico

devono essere esplicitate le finalità per cui si richiede il consenso e se ci sono più finalità questo deve essere espresse per ciascuna di essere. Anche in caso di modifiche avvenute successivamente al consenso occorrerà richiedere il consenso dell’interessato.

4. Informato

occorre dare all’interessato tutte le informazioni necessarie al trattamento dei suoi dati (informativa con i relativi diritti), e deve essere informato anche su cosa comporta non dare il consenso.

5. Verificabile

il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha dato il suo consenso riferito a quello specifico trattamento.

6. Revocabile

in qualsiasi momento il consenso deve poter essere revocato dall’interessato. Revocare il consenso deve essere ugualmente semplice come il conferirlo. L’interessato non è tenuto a spiegare il motivo per cui revoca il suo consenso e in tal caso il trattamento si interrompe.

Per i minori di 16 anni il consenso deve essere fornito da chi esercita la patria potestà genitoriale.

2) Adempimento di obblighi contrattuali

Il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso. Occorre ovviamente l'informativa, e deve essere garantita la portabilità dei dati.

3) Obblighi di legge cui è soggetto il titolare del trattamento 

Nel caso di trattamento dei dati necessario per l'adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità deve essere specificata per legge.

4) Interessi vitali della persona interessata o di terzi

Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, come nel caso di un incidente stradale oppure se l'interessato si trova nell'incapacità fisica di prestare il consenso In questo caso non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.

5) Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati

Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.

6) Interesse pubblico o esercizio di pubblici poteri

Il trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento non richiede consenso, né si deve garantire la portabilità dei dati, ma occorre fornire l'informativa, nella quale va indicata la base giuridica del trattamento.

La finalità deve essere specificata per legge.