Liceità del trattamento: ciò che prevede il GDPR per determinare la base giuridica.

Per poter essere attuato, l’eventuale trattamento dei dati deve basarsi su una delle “basi giuridiche” previste dal GDPR. La determinazione della base giuridica appropriata è un passaggio fondamentale per le organizzazioni. Ecco alcune spiegazioni per affrontare con metodo questa operazione.

Qual è la “base giuridica” per il trattamento dei dati personali?

La base giuridica di un trattamento è ciò che autorizza legalmente la sua attuazione, che conferisce il diritto a un’organizzazione di trattare i dati personali. Si può parlare anche di “base giuridica” o “base giuridica” del trattamento.

Quali sono le basi giuridiche previste dal GDPR?

È consentito trattare i dati personali quando il trattamento si basa su una delle 6 basi giuridiche di cui all’articolo 6 del GDPR :  

1. Il consenso: l’interessato ha acconsentito al trattamento dei propri dati;
2. Il contratto: il trattamento è necessario per l’esecuzione o la predisposizione di un contratto con l’interessato;
3. l’obbligo di legge: il trattamento è imposto da testi di legge;
4. Il compito di interesse pubblico: il trattamento è necessario per l’esecuzione di un compito di interesse pubblico;
5. Il legittimo interesse: il trattamento è necessario per il perseguimento del legittimo interesse dell’ente che tratta i dati o di un terzo, nel rigoroso rispetto dei diritti e degli interessi dei soggetti cui si riferiscono i dati;
6. tutela degli interessi vitali: il trattamento è necessario per salvaguardare gli interessi vitali dell’interessato o di terzi.

Quando uno stesso trattamento di dati persegue più finalità, per ciascuna di tali finalità deve essere definita una base giuridica. Non è invece possibile “cumulare” basi giuridiche per lo stesso scopo: ne deve essere scelta una sola.

Esempio: il dossier “clienti e prospect” di un’azienda può avere diversi scopi, ognuno dei quali deve avere una base giuridica: il contratto per la gestione degli ordini, delle consegne o del servizio post vendita; l’obbligo legale di tenere la contabilità; consenso per operazioni di prospezione commerciale per via elettronica; eccetera

Perché è importante mettere in discussione la base giuridica del suo trattamento dei dati?

Innanzitutto perché è vietato trattare dati personali senza una base giuridica. Il GDPR prevede che ogni trattamento dei dati debba essere “lecito”: per essere legalmente attuato, deve quindi basarsi su una delle 6 basi giuridiche previste dal GDPR.

Poi, perché ogni base giuridica obbedisce a condizioni specifiche. Ad esempio, l’organizzazione che intende basare il proprio trattamento sul consenso delle persone fisiche, deve verificare che il consenso sia libero, informato, specifico ed espresso.

Infine, perché le diverse basi giuridiche non hanno le stesse conseguenze sui diritti delle persone i cui dati vengono trattati.

Ad esempio: il diritto alla portabilità può essere esercitato solo in relazione a trattamenti la cui base giuridica è il consenso o il contratto; il diritto di opposizione non è, da parte sua, applicabile al trattamento basato su un obbligo di legge.

La scelta della base giuridica deve essere effettuata prima di qualsiasi inizio del trattamento dei dati.

Come determinare concretamente la base giuridica di un trattamento?

Il GDPR non crea una gerarchia tra le diverse basi giuridiche. Ad esempio, il consenso non prevale su altre basi giuridiche. La base giuridica adeguata deve essere determinata dal titolare del trattamento, in modo adeguato alla situazione e al tipo di trattamento, caso per caso.

Per orientare la sua riflessione, il titolare del trattamento può porsi le seguenti domande:

1. I testi impongono o escludono una specifica base giuridica?
2. Esempio di base giuridica imposta: nel caso di elaborazione commerciale effettuata per via telematica, il consenso è richiesto da specifiche disposizioni di legge;
3. Esempio di base giuridica esclusa: nel caso di un’autorità pubblica, il GDPR vieta di basare il trattamento che attua, nello svolgimento dei propri compiti sul proprio legittimo interesse.

In tali casi, la determinazione della base giuridica del trattamento è automatica o agevolata.

2. Qual è il contesto generale di attuazione del trattamento?  

Spesso il contesto indirizzerà verso determinate basi giuridiche o, al contrario, porterà a scartarne alcune, anche se è necessario evitare qualsiasi automatismo.

In particolare possiamo prendere in considerazione:

1. il tipo di organizzazione (privata o pubblica, responsabile o meno di una missione di servizio pubblico, ecc.);
2. il settore di attività (salute, risorse umane, marketing, ecc.);
3. l’obiettivo generale perseguito (commerciale, di interesse generale, ecc.);
4. il grado di autonomia dell’organizzazione (i testi la richiedono per implementare il trattamento dei dati o lo fa di propria iniziativa?);
5. il grado di controllo che le persone hanno sui propri dati;
6. se esiste o meno un quadro contrattuale;

Per esempio:

• se il trattamento è attuato nell’ambito di un rapporto contrattuale tra un’azienda ed i suoi clienti, è necessario ricorrere preliminarmente alla base giuridica “contratto”;
• se il trattamento è imposto all’organizzazione da disposizioni di legge, deve essere privilegiata la base giuridica “obbligo di legge”;
• qualora un ente pubblico intenda effettuare trattamenti nell’ambito delle proprie missioni, la “missione di interesse pubblico” costituirà probabilmente la base giuridica più adeguata.

Nota bene: l’organizzazione deve chiedersi, di volta in volta, se il trattamento sia effettivamente “necessario” per la base giuridica in questione.

Per esempio:

• qualora il trattamento, svolto nell’ambito di un contratto tra l’organizzazione ed una persona, vada oltre quanto oggettivamente necessario per l’esecuzione del presente contratto e serva ad altre esigenze proprie dell’organizzazione, la base giuridica “contratto” non può essere mantenuta.

Caso pratico: il trattamento dei dati personali di una persona è necessario in caso di consegna di un prodotto, ma la raccolta della sua data di nascita non è necessaria per l’esecuzione del presente contratto. Il trattamento di questi dati può perseguire un’altra finalità (azioni di fidelizzazione, invio di email in occasione dei compleanni dei clienti, ad esempio), che deve quindi basarsi su un’altra base giuridica (legittimo interesse o consenso, ad esempio).

• se il trattamento soddisfa un obbligo di legge, l’organizzazione non può aggiungere dati che non siano necessari per l’adempimento del proprio obbligo o perseguire finalità diverse da questa.  

Caso pratico: la tenuta del registro di stato civile è un obbligo di legge per i comuni. La diffusione di questi eventi familiari, a mezzo stampa o con qualsiasi altro mezzo, va oltre tale obbligo e deve quindi basarsi su un’altra base giuridica (ad esempio, il consenso degli interessati ottenuto al momento della costituzione dell’atto).

3. Sono soddisfatte le condizioni specifiche della base giuridica prevista?

Ogni base giuridica è soggetta a condizioni specifiche. Quando l’ente prevede di mantenere una base particolare, deve verificare che queste condizioni siano soddisfatte.

Per esempio:

1. Il consenso deve essere libero, specifico, informato ed inequivocabile per essere validamente raccolto e costituire quindi la base giuridica del trattamento. Se una di queste condizioni non è soddisfatta, il consenso non può costituire la base giuridica del trattamento.
2. se il trattamento viola eccessivamente i diritti e le libertà delle persone, il legittimo interesse non può giustificarne legalmente l’attuazione.

Se non sono soddisfatte le condizioni specifiche della base giuridica prevista, l’organizzazione deve o modificare i parametri del proprio trattamento dei dati per ottenerne il rispetto, oppure cercare un’altra base giuridica.

Dove dovrebbe essere menzionata la base giuridica scelta?

La/e base/e giuridica/e del trattamento (se il trattamento persegue più finalità) deve essere menzionata nell’informativa resa alle persone i cui dati sono oggetto di trattamento.

Buone abitudini

• Si raccomanda di documentare la scelta della base giuridica:

Tale scelta deve infatti essere oggetto di particolare attenzione da parte del titolare del trattamento e, in alcuni casi, tale operazione può essere delicata e dare adito a titubanze. Può quindi essere utile documentare la scelta operata al fine di dimostrare il processo di interrogazione e ricerca della base giuridica più adeguata, in particolare in caso di controllo da parte del Garante Privacy.

• Può anche essere utile citare le basi giuridiche nel registro  :

Ciò consente all’organizzazione interessata, o al suo responsabile della protezione dei dati (DPO) (se quest’ultimo è responsabile della tenuta del registro), di avere una visione d’insieme del trattamento e rafforzare così la sua funzione di strumento per la gestione e la dimostrazione della conformità al GDPR. Ciò facilita, ad esempio, lo sviluppo delle informazioni da fornire alle persone interessate.

Focus: base giuridica e trattamento dei dati “Particolari”.

I cosiddetti dati Particolari, citati nell’articolo 9 del GDPR, sono quelli che riguardano l’intimità della vita privata, ovvero le informazioni che rivelino la presunta origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute e alla vita sessuale o all’orientamento sessuale di una persona.

In linea di principio il trattamento dei dati particolari è vietato, ma il GDPR prevede diverse eccezioni a tale divieto, ad esempio:

• se l’interessato ha espresso il consenso;
• se le informazioni sono rese pubbliche dall’interessato;
• se sono necessari per salvaguardare la vita umana;
• se il loro uso è giustificato dall’interesse pubblico;
• se riguardano membri o aderenti ad un’associazione o organizzazione politica, religiosa, filosofica, politica o sindacale.

Tali eccezioni possono essere mobilitate solo per derogare al principio di divieto del trattamento di tali dati. Non costituiscono la “base giuridica” del trattamento posto in essere.

Il trattamento dei dati particolari può avvenire solo se sono soddisfatte le due seguenti condizioni cumulative:

1. il trattamento si basa validamente su una delle basi giuridiche previste dall’articolo 6 del GDPR;
2. al trattamento in questione è applicabile una delle eccezioni di cui all’articolo 9 del GDPR.

In pratica, la continuità può essere ricercata tra le due categorie di disposizioni, senza essere necessariamente sistematicamente necessarie. Ad esempio, il trattamento basato sul consenso delle persone fisiche può facilmente mobilitare l’eccezione del consenso espresso per consentire il trattamento di dati particolari.