DGPR: Principi e la liceità di Trattamento - SPPD-MADEIN

Privacy 4.0 e Protezione dei dati
Edizione 2018-2019

Vai ai contenuti

Menu principale:

DGPR: Principi e la liceità di Trattamento

AREA FORMAZIONE > DISPENSE FORMAZIONE > PRINCIPI e IMPIANTO SISTEMA
GDPR: DGPR: Principi e la liceità di Trattamento
La privacy europea è e sarà perennemente evolutiva!

CONDIZIONI DI TRATTAMENTO LECITO

(Principi e condizioni di liceità)
Una volta appurato che il RGPD si applica, l'impresa/ente deve verificare quali sono le condizioni alle quali si possono trattare i dati. Si tratta dei "principi" previsti dagli articoli da 5 a 11 del RGPD: si tratta di principi trasversali a tutti i trattamenti (articolo 5) o relativi a tipi di dati (articoli 6, 7, 9, 10, 11) o a particolari categorie di interessati (articolo 8)

L'articolo 5 declina principi generalissimi:

IL PRINCIPIO
      • Liceità, correttezza e trasparenza
      • Limitazione della finalità
      • Minimizzazione dei dati
      • Esattezza
      • Limitazione della conservazione
      • Integrità e riservatezza


TIPOLOGIA del DATO
      • Dati trattati in modo lecito, corretto e trasparente nei confronti dell'interessato
      • Dati raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità oppure comunque a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
      • Dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
      • Dati esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
      • Dati conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delie finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
      • Dati trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali

L'impresa/ente deve calare nella sua attività questi principi generalissimi, tenendo conto che è a carico del titolare del trattamento l'esatta osservanza degli stessi ed anche l'onere della prova d tale esatta osservanza (principio di Responsabilizzazione o accountability).

Il Regolamento 2016/679 specifica i principi particolari, agli articoli da 6 a 11, che dettano le condizioni di liceità del trattamento.

Le condizioni di liceità del trattamento sono differenti per i dati comuni rispetto alle particolari categorie di dati (dati sensibili e biometrici) e dati giudiziari.


Per i dati comuni ci sono sei possibilità:
1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
3. il trattamento è necessario per ademPiere un obbligo legale al quale è soggetto il titolare del trattamento;
4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
5. il trattamento è necess, rio per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.


Per le particolari categorie di dati le possibili condizioni di liceità sono 10:
1. l'interessato ha prestato il proprio consenso esplicito al trattamento di tali Dati Personali di specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di trattamento;

2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;

3. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

4. il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie. da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;

5. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

7. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;

9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.


Quando la condizione di liceità è rappresentata dal consenso, bisogna osservare le condizioni previste dal Regolamento per la corretta ed efficace formulazione dello stesso.
Si ricordi, tra l'altro, che qualora il trattamento si basi sul consenso, già acquisito prima del 25 maggio 2018, non occorre che il titolare del trattamento ne raccolga uno nuovo, se questo è stato espresso secondo modalità conformi alle condizioni del regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del regolamento.
Vediamo, dunque, le caratteristiche del consenso, cosicchè i titolari possano adeguare la propria modulistica o il proprio modo di operare.

Il Regolamento, nelle sue premesse, chiarisce che il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il
trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente
in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.


IMPORTANTE !!!
L'onere della prova della prestazione del consenso a carico del titolare del trattamento

CARATTERISTICHE DEL CONSENSO

Libero - Se contenuta in un testo scritto richiesta del consenso chiaramente distinguibile da altre materie, comprensibile accessibile, in linguaggio semplice e chiaro

Diritto di revoca in qualsiasi momento - Esecuzione di un contratto non deve essere condizionata al consenso non necessario per quella attività

Specifico Informato - nuova accezione "inequivocabile" e quindi desumibile in alcuni, casi ma sempre  "esplicito" per i dati "particolari"


Per i minori di età, l'articolo 8 del Regolamento detta la soglia minima di 16 anni (abbassabile dai singoli stati a 13) per acconsentire al trattamento dei dati nell'ambito di servizi della società dell'informazione.
Per il trattamento di dati relativi a condanne penali e reati, l'articolo 10 del RGPD deve essere regolamentato dalla legge dei singoli stati.

L'articolo 11 inibisce la conservazione di dati identificativi in relazione a finalità di trattamento che non la richiedano necessariamente. Per il caso del "legittimo interesse" va evidenziata la speciale procedura prevista dall'articolo 1, commi da 1021 a 1023 della legge 205/2017 (legge di bilancio 2018). In base a queste norme, al Garante della privacy, innanzi tutto, è affidato il compito di adottare un provvedimento, con cui definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare. Le linee guida riguarderanno tutti casi di legittimo interesse. Poi c'è un'aggiunta per il trattamento basato sul legittimo interesse con uso di nuove tecnologie o di
strumenti automatizzati: nel medesimo provvedimento il Garante deve elaborare un modello di informativa da compilare a cura dei titolari di dati personali.

Sempre per il caso di trattamenti basato sul legittimo interesse con uso di nuove tecnologie o di strumenti automatizzati, la legge di bilancio aggiunge una speciale procedura. Il titolare di dati personali deve darne tempestiva comunicazione al Garante e, prima di procedere al trattamento, il titolare dei dati invia al Garante un'informativa relativa all'oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di informativa, predisposto dallo stesso garante. Trascorsi quindici giorni lavorativi dall'invio dell'informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento. Il Garante deve effettuare un'istruttoria sulla base dell'informativa ricevuta dal titolare e, se ravvisa il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante potrà chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l'inibitoria all'utilizzo dei dati.

Il meccanismo allunga i tempi dell'inizio del trattamento, ma dà alle imprese la possibilità di non rischiare in proprio. Il regolamento europeo grava le imprese dell'onere di individuare quando non c'è bisogno del consenso dell'interessato,
con questo esponendosi a gravi sanzioni pecuniarie se l'individuazione risultasse sbagliata. La strada italiana permette alle imprese di avere la sicurezza di trattare i dati con il via libera del garante. Il problema è di verificare quanto questo correttivo italiano sia in linea con il regolamento o se, invece, non ne tradisca lo spirito. E si tratta di vedere quanto questa strada sarà in linea con gli orientamenti deglio altri Paesi UE


Torna ai contenuti | Torna al menu