L’obbligo legale è una delle basi giuridiche previste dal GDPR su cui può fondarsi il trattamento dei dati personali. L’uso di questa base giuridica è giustificato quando l’attuazione del trattamento è imposta a un’organizzazione da testi europei o nazionali.
L’obbligo legale deve essere imperativo, sufficientemente chiaro e preciso da fornire una base valida per il trattamento. I testi che creano tale obbligo devono almeno definire la finalità di tale trattamento.
Chi può essere interessato dalla base giuridica “obbligo legale”
L’obbligo legale è una delle 6 basi giuridiche previste dal GDPR che autorizza l’attuazione del trattamento dei dati personali.
Questa base giuridica può essere la base per il trattamento dei dati, quando la sua attuazione da parte di un’organizzazione, è resa obbligatoria dal quadro giuridico a cui è soggetta. Può riguardare trattamenti effettuati da enti privati oltre che da enti pubblici.
A quali condizioni l’obbligo legale può costituire la base giuridica del trattamento?
Il ricorso all’obbligo legale di stabilire legalmente il trattamento è soggetto a diverse condizioni:
- come per ogni base giuridica, l’obbligo legale può essere mantenuto solo se il trattamento soddisfa la condizione di “necessità”.
Il trattamento in questione deve quindi consentire l’adempimento dell’obbligo legale imposto all’organizzazione e non deve avere altro scopo. Tale organizzazione deve inoltre garantire che non vi siano mezzi meno invadenti per il raggiungimento di tale obiettivo, rispetto all’attuazione del trattamento previsto.
Ad esempio, un datore di lavoro può utilizzare mezzi meno intrusivi per garantire l’incolumità fisica dei propri dipendenti rispetto all’implementazione di sistemi TVCC. L’obbligo di sicurezza che incombe ai datori di lavoro ai sensi del codice del lavoro non può quindi essere alla base di tali sistemi e va ricercata un’altra base giuridica, quale il loro legittimo interesse a garantire l’incolumità delle persone e dei beni nei loro locali.
Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.
Per saperne di più: Legittimità del trattamento: i punti principali sulle basi giuridiche previste dal GDPR.
- in particolare, l’obbligo di legge deve soddisfare 4 condizioni per stabilire validamente un trattamento:
- l’obbligo legale deve essere definito dal diritto europeo o dal diritto nazionale di uno Stato membro al quale è soggetto il titolare del trattamento;
- tali disposizioni di legge devono stabilire che l’obbligo al trattamento dei dati personali, sia sufficientemente chiaro e preciso;
- tali disposizioni devono almeno definire le finalità del trattamento in questione;
- tale obbligo deve essere imposto al titolare del trattamento, e non agli interessati dal trattamento.
Se tali condizioni non sono soddisfatte, il trattamento in questione non può essere basato sull’obbligo legale e un’altra base giuridica deve essere ricercata dall’organismo che tratta i dati.
Oltre alla condizione di “necessità” rispetto alla base giuridica adottata, che deve essere soddisfatta da qualsiasi trattamento dei dati indipendentemente da tale base giuridica, l’obbligo legale individuato dal titolare deve quindi soddisfare 4 condizioni distinte:
- l’obbligo deve essere definito dal diritto europeo o dal diritto nazionale cui è soggetto il titolare del trattamento
L’obbligo legale deve essere previsto nel quadro giuridico nazionale o europeo. Gli obblighi imposti dalle legislazioni di altri Stati non possono costituire la base del trattamento (a meno che non siano riportati nell’ordinamento giuridico nazionale, ad esempio nell’ambito di un accordo bilaterale). Allo stesso modo, una clausola contrattuale non può costituire l’obbligo legale di autorizzazione all’esecuzione del trattamento – in questo caso sarà più appropriata la base giuridica “contratto”.
Ad esempio, le disposizioni di legge che disciplinano il “diritto di comunicazione” dell’amministrazione fiscale, che consente ai suoi agenti di avere conoscenza di atti e dati alle condizioni previste dalla normativa nazionale, costituiscono un obbligo giuridico atto a fondare la trasmissione, da parte degli organi richiesti dall’amministrazione, dei dati personali richiesti. La trasmissione di dati a seguito di richieste di autorità giudiziarie esterne all’Unione Europea, invece, non può basarsi, in mancanza di un meccanismo di assistenza giudiziaria, sulla base giuridica “obbligo di legge” e va quindi ricercata una base giuridica alternativa.
- le disposizioni di legge devono stabilire un obbligo imperativo per l’organizzazione, sufficientemente chiaro e preciso
Il titolare del trattamento che desideri avvalersi di tale base giuridica non dovrebbe avere scelta se adempiere o meno all’obbligo. Una possibilità o un’autorizzazione ad attuare il trattamento dei dati, non costituisce un obbligo legale.
Ad esempio, le disposizioni del Codice di Sicurezza Interna in materia di video protezione, non costituiscono un obbligo giuridico che consenta di stabilirne legalmente l’attuazione di tale trattamento.
Parimenti, il titolare del trattamento non dovrebbe avere un’eccessiva discrezionalità su come adempiere a tale obbligo legale: un mero obiettivo generale previsto da una disposizione di legge, non può costituire una base giuridica sufficiente per autorizzare l’esecuzione di un trattamento. Il quadro giuridico deve necessariamente comportare l’attuazione del trattamento affinché l’obbligo legale possa costituire una base valida.
Ad esempio, l’obbligo generale di garantire la sicurezza dei dati trattati dalle organizzazioni non costituisce un obbligo sufficientemente preciso, per fornire una base giuridica per l’attuazione del trattamento di rilevamento delle intrusioni nei database. Tale trattamento deve basarsi su un’altra base giuridica, ad esempio sul legittimo interesse.
- le disposizioni di legge che stabiliscono tale obbligo devono almeno definire le finalità del trattamento in questione
Qualora la disciplina giuridica non debba prevedere espressamente la realizzazione o l’attuazione di uno o più trattamenti di dati personali, le loro finalità devono essere imperativamente definite nelle disposizioni in parola per l’obbligo di legge di poter validamente instaurare il trattamento. Tali disposizioni di legge possono riguardare anche altre condizioni essenziali per l’attuazione del trattamento (i dati interessati, i loro periodi di conservazione, i soggetti ai quali possono essere comunicati, ecc.). In pratica, quanto più precise sono queste disposizioni, tanto più facile sarà per le organizzazioni interessate utilizzare tale base giuridica.
Il GDPR non impone alcun particolare livello di standard: tale obbligo legale può quindi nascere da una normativa europea, una legge, un decreto, un’ordinanza, ecc. Può quindi basarsi su più livelli di standard, ad esempio su una disposizione legislativa che impone l’attuazione del trattamento dei dati, specificata da disposizioni normative che impongono obblighi più specifici.
Ad esempio, alcuni sistemi di whistleblowing implementati dal settore pubblico si basano sulla legge n. xxxxx relativa alle procedure per la raccolta delle segnalazioni, rilasciate da personale dipendente o da collaboratori esterni e occasionali, e sul decreto n. xxxxx che stabilisce le procedure di raccolta delle segnalazioni emesse dagli informatori.
- l’obbligo di legge deve essere imposto al titolare del trattamento, non agli interessati
Ad esempio, le disposizioni del Codice monetario e finanziario impongono ad alcune professioni, obblighi di due diligence nei confronti dei propri clienti, nella lotta al riciclaggio e al finanziamento del terrorismo, che richiedono l’attuazione del trattamento dei dati; queste organizzazioni possono quindi basare questo trattamento su questo obbligo legale. D’altra parte, l’obbligo di dichiarare i tributi all’amministrazione tributaria imposto ai contribuenti non ha la conseguenza di fondare il trattamento posto in essere da tale amministrazione sull’obbligo di legge, che si fonda sulla sua missione di interesse pubblico.
Quali sono le conseguenze della scelta di questa base giuridica?
La base giuridica “obbligo legale” ha diverse conseguenze importanti per l’organizzazione che tratta i dati e per le persone interessate dal trattamento. Come per tutte le basi giuridiche, la scelta di ricorrere all’obbligo di legge deve quindi essere oggetto di particolare attenzione da parte del titolare del trattamento.
Per le persone fisiche: i diritti di opposizione e di portabilità non possono essere esercitati con riguardo al trattamento basato su un obbligo di legge.
Comments are closed for this article!