Guida all’applicazione del Regolamento Europeo 2016/679

Guida all’applicazione del Regolamento Europeo 2016/679

LEaMON marketing > Blog > News > Guida all’applicazione del Regolamento Europeo 2016/679

guida all'applicazione del regolamento europeo in materia di trattamento dei dati personali 2016/679

Fondamenti di liceità del trattamento

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

guida all'applicazione del regolamento europeo in materia di trattamento dei dati personali 2016/679

In particolare:

CONSENSO

Per i dati “sensibili” (si veda art. 9 regolamento) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Si segnalano, al riguardo, le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo “Articolo 29” (WP 251), qui disponibili: www.garanteprivacy.it/regolamentoue/profilazione

Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del regolamento).

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).

INTERESSE VITALE DI UN TERZO

Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione.

INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE O DI UN TERZO

Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto protezione dati.

L’interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

Il regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Il regolamento offre alcuni criteri per il bilanciamento in questione e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo “Articolo 29” sul punto (WP217). Si confermano, inoltre, nella sostanza, i requisiti indicati dall’Autorità nei propri provvedimenti in materia di bilanciamento di interessi (si veda, per esempio, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 con riguardo all’utilizzo della videosorveglianza; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6068256 in merito all’utilizzo di sistemi di rilevazione informatica anti-frode; ecc.) con particolare riferimento agli esiti delle verifiche preliminari condotte dall’Autorità, con eccezione ovviamente delle disposizioni che il regolamento ha espressamente abrogato (per esempio: obbligo di notifica dei trattamenti). I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.

Fonte: Guida all’applicazione del Regolamento Europeo in materia di Trattamento dei Dati Personali

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *