I responsabili del trattamento dei dati devono ricorrere a una "base giuridica" per trattare i dati personali in modo lecito. È essenziale individuare la base giuridica appropriata in quanto può comportare requisiti specifici (ad esempio, il consenso deve essere libero, specifico, informato e inequivocabile) e avere conseguenze sui diritti delle persone fisiche (ad esempio, il diritto alla portabilità dei dati si applica solo quando la base giuridica è il consenso o un contratto).
In questa pagina troverai maggiori informazioni sulle diverse basi giuridiche ai sensi del GDPR. Scopri di più sui diritti che si applicano per base giuridica.
Quali sono le possibili basi giuridiche ai sensi del GDPR?
I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:
- con il consenso delle persone interessate;
- in caso di obbligo contrattuale (un contratto tra la vostra organizzazione e una persona fisica);
- per adempiere a un obbligo giuridico ai sensi della legislazione dell'UE o nazionale;
- quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
- per proteggere gli interessi vitali di un individuo;
- per gli interessi legittimi della tua organizzazione (eccetto nel caso in cui prevalgano gli interessi o i diritti fondamentali degli individui).
Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati sensibili.
Consenso
La tua organizzazione può decidere di fare affidamento sul consenso per il trattamento dei dati personali.
Se un titolare del trattamento utilizza il consenso come base giuridica per il trattamento dei dati personali, deve garantire che tale consenso sia liberamente prestato, informato, specifico e inequivocabile. Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e in che modo; e devono essere in grado di ritirare liberamente il loro consenso (senza conseguenze negative) se, in seguito, cambiano idea.
Se l'organizzazione deve trattare i dati e non può realmente consentire alle persone fisiche di revocare il proprio consenso, in questo caso il consenso non può essere la base giuridica appropriata per il trattamento ed è quindi necessario valutare se un'altra base giuridica possa essere utilizzabile.
Condizioni per il consenso
Libero
Il consenso è liberamente dato quando gli individui sono in grado di rifiutare e revocare il loro consenso senza alcun rischio di pressione esterna o conseguenze negative. Gli individui devono inoltre avere il diritto di revocare il loro consenso in qualsiasi momento; questo procedimento deve essere reso facile da eseguire per le persone (così come lo è stato quello per fornire il consenso). La revoca del consenso non deve pregiudicare il trattamento dei dati personali dell'individuo effettuato prima di tale revoca, quando il consenso era ancora valido.
Ad esempio, in linea di principio, i dipendenti non saranno in grado di fornire liberamente il consenso al trattamento effettuato dal loro datore di lavoro, in quanto i dipendenti potrebbero ritenere di non essere in grado di rifiutare la richiesta del loro datore di lavoro.
Specifico
Affinché il consenso sia valido, esso deve essere specifico anche per la finalità del trattamento. Questo requisito è strettamente correlato a quello del consenso informato: le persone fisiche devono essere informate delle finalità specifiche in un linguaggio chiaro e di facile comprensione, in modo da avere un'idea chiara delle finalità per l equali vengono trattati i loro dati. Ciò significa anche che se le finalità del trattamento cambiano, o se vengono aggiunte ulteriori operazioni di trattamento, alle persone dovrebbe essere chiesto di nuovo il proprio consenso. Allo stesso modo, se un'operazione di trattamento ha più scopi, il consenso dovrebbe essere dato per ciascuno di essi.
Ad esempio, un servizio di streaming raccoglie i dati personali dei propri clienti per offrire loro suggerimenti di visualizzazione personalizzati. Dopo qualche tempo, il servizio di streaming decide di condividere i dati personali dei propri clienti con terze parti in modo che possano inviare pubblicità mirata ai clienti in base alle loro abitudini di visione. Poiché questo è un nuovo scopo, il servizio di streaming dovrà chiedere il consenso del proprio cliente.
Informato
Quando si richiede il consenso di un individuo, l'organizzazione deve garantire che tale richiesta sia comunicata all'individuo in una forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Dovrebbero essere fornite informazioni sulle finalità, l'identità del titolare del trattamento, le categorie di dati, i destinatari e il diritto di revocare il consenso.
Inequivocabile
Affinché il consenso non sia ambiguo, ci dovrebbe essere una chiara azione affermativa (senza caselle preselezionate e fatta separatamente dalle condizioni generali applicabili).
Si raccomanda di aggiornare il consenso ad intervalli idonei. Inoltre, è necessario essere in grado di dimostrare che l'individuo, i cui dati sono trattati, abbia dato il proprio consenso, ad esempio attraverso una dichiarazione scritta o firmata, o mediante un'azione deliberata come spuntare una casella.
Condizioni applicabili al consenso dei minori
In qualità di titolare del trattamento, si dovrebbe compiere ogni ragionevole sforzo per verificare l'età dell'individuo.
I bambini di età pari o superiore a 16 anni sono considerati in grado di dare il proprio consenso.
Per i bambini di età inferiore ai 16 anni, la tua organizzazione deve richiedere il consenso del tutore legale o del genitore. In questo caso, si dovrebbe fare ogni ragionevole sforzo per verificare che la persona consenziente per conto del minore abbia la responsabilità genitoriale. Si noti, tuttavia, che il GDPR dà ai Paesi dell'UE la possibilità, attraverso la legislazione nazionale, di fissare l'età del consenso tra i 13 e i 16 anni quando i servizi sono forniti via Internet. Pertanto, si consiglia di verificare le disposizioni nazionali in materia.
Quando il consenso può essere fornito dai minori, la lingua utilizzata per comunicare le informazioni relative al servizio dovrebbe essere adattata alla loro età.
Esecuzione di un contratto
Il trattamento dei dati personali di una persona fisica per l'esecuzione di un contratto costituisce una valida base giuridica, ad esempio nei seguenti casi:
- La tua organizzazione ha bisogno di elaborare i dati personali di un individuo per fornire un servizio.
- Un potenziale cliente, o un cliente, ti ha chiesto di fare qualcosa prima di stipulare un contratto con la tua organizzazione, ad esempio potrebbe desiderare di ricevere un preventivo per i servizi che fornisci, per il quale potresti aver bisogno di elaborare alcuni dei suoi dati personali.
Il trattamento deve essere necessario per l'esecuzione di un contratto. In pratica, ciò significa che l'organizzazione non può procedere all'esecuzione del contratto o del servizio senza i dati personali in questione. Si raccomanda all'organizzazione di documentare i motivi per cui il trattamento dei dati di una persona è necessario per l'esecuzione di un contratto.
Inoltre, si dovrebbe cercare di raccogliere il minor numero di dati personali necessari, per eseguire l’azione contrattuale o per l'adozione di misure precontrattuali pertinenti. In particolare, non è possibile utilizzare il contratto per espandere artificialmente le categorie di dati personali o i tipi di operazioni di trattamento. Piuttosto, è necessario assicurarsi che vi sia un'autentica comprensione reciproca della finalità contrattuale, basata sulle aspettative di un individuo medio al momento della conclusione del contratto.
Questa base giuridica può applicarsi anche a determinate azioni relative alle garanzie contrattuali e a determinate azioni che possono essere ragionevolmente previste, e necessarie, all'interno di un normale rapporto contrattuale, come l'invio di solleciti formali sui pagamenti in sospeso o la correzione di errori o ritardi nell'esecuzione del contratto.
Questa base giuridica non si applica, tuttavia, se si desidera trattare i dati personali di un individuo per scopi di marketing, prevenzione di frodi, pubblicità mirata o qualsiasi altro scopo relativo al modello di business della tua organizzazione. In tali casi possono essere disponibili altre basi giuridiche, come il consenso o l'interesse legittimo, purché siano soddisfatti i criteri pertinenti.
Le normative possono anche imporre il trattamento dei dati personali, anche dopo la risoluzione del contratto (ad esempio, per tenere registri a fini contabili).
Naturalmente, il contratto deve essere valido anche ai sensi della legge in vigore.
Nella pratica
- Sei un'azienda che vende vestiti, sia online che in un negozio e potrebbe essere necessario elaborare alcuni dei dati personali dei tuoi clienti, come i dettagli della carta di credito, per poter elaborare gli acquisti effettuati dai tuoi clienti per i tuoi vestiti. In questo caso, il trattamento dei dati personali dei clienti potrebbe essere necessario per l'esecuzione di un contratto.
- Sei un'azienda che offre l'assicurazione casa. Un potenziale cliente ha richiesto un preventivo per assicurare la propria casa. Pertanto, alcuni dei suoi dati personali potrebbero essere necessari per fornire un prezzo preciso per la sua assicurazione casa.
- Sei un'azienda che vende libri, che alcuni dei tuoi clienti hanno acquistato. Quando questi clienti hanno acquistato i libri, potresti aver raccolto alcuni dei loro dati personali, che erano necessari per elaborare la transazione. Ora desideri trattare i dati personali di questi clienti, compresi i dati sui loro acquisti precedenti, per consigliare altri libri che potrebbero piacergli. Non è possibile fare affidamento sul trattamento dei dati personali per l'esecuzione di un contratto come base giuridica perché il trattamento dei dati dei clienti ai fini della pubblicità di altri libri non è necessario per l'esecuzione di un contratto.
Pertanto, la tua azienda dovrà richiedere il consenso dei clienti per essere in grado di pubblicizzare altri libri oppure, a seconda delle circostanze, può basarsi sul suo legittimo interesse.
Rispetto di un obbligo legale del titolare del trattamento
Il GDPR prevede un'altra base giuridica, vale a dire: (il trattamento) è necessario per l'adempimento di un obbligo legale al quale è soggetto il titolare del trattamento.
Tale base giuridica può essere invocata quando un trattamento è imposto a un'organizzazione dalla legislazione dell'UE o nazionale. Più specificamente, devono essere soddisfatte quattro condizioni:
- l'obbligo giuridico deve essere definito dal diritto dell'UE o nazionale cui è soggetto il responsabile del trattamento;
- tali disposizioni di legge devono stabilire un obbligo chiaro e specifico di trattare tali dati personali;
- tali disposizioni devono almeno definire le finalità del trattamento;
- tale obbligo dovrebbe essere imposto al responsabile del trattamento e non agli interessati.
Se queste condizioni non sono soddisfatte, il trattamento non può essere basato sull'obbligo legale e deve essere richiesta un'altra base giuridica.
Il GDPR prevede molte circostanze diverse in cui i titolari del trattamento sono legalmente obbligati a trattare i dati personali dei loro consumatori o clienti. Ad esempio, i datori di lavoro di solito hanno bisogno di elaborare i dati personali dei loro dipendenti per scopi di sicurezza sociale, o un'azienda ha spesso bisogno di elaborare i dati personali dei loro clienti o consumatori a fini fiscali.
Leggi di più
Interessi vitali di un individuo
Il trattamento dei dati per tutelare gli interessi vitali di una persona può essere invocato solo in casi rari e specifici. Questo potrebbe essere il caso, ad esempio, se è necessario elaborare dati personali per proteggere la vita di qualcuno. Tuttavia, sulla base del GDPR, questa base giuridica ha una portata molto limitata e può essere invocata solo in caso di emergenza.
Nella pratica
La tua organizzazione offre viaggi di rafting. Durante uno dei viaggi che hai organizzato, uno dei partecipanti è gravemente ferito. Di conseguenza, il partecipante è incosciente e deve ricevere cure mediche urgenti in un ospedale. Come organizzazione potrebbe essere necessario comunicare (= trattamento) i dati personali dell'individuo all'ospedale che ha bisogno di trattarli per salvare la vita di quella persona. In questo contesto, potresti essere in grado di trattare i dati di questa persona per proteggere il suo interesse vitale.
Interesse pubblico
In alcuni casi specifici, la tua organizzazione potrebbe dover essere in grado di trattare i dati personali delle persone per un compito svolto nell'interesse pubblico. In questo caso, il trattamento deve avere una base nel diritto dell'UE o nazionale. La sua finalità deve essere determinata su tale base giuridica o essere necessaria per l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei pubblici poteri di cui è investito il titolare del trattamento. Pertanto, tale base giuridica può essere pertinente, in particolare, ai trattamenti effettuati dalle autorità pubbliche ai fini dell'espletamento dei loro compiti.
Nella pratica
La tua organizzazione è una clinica medica, che include un dentista e un medico di base. Potrebbe essere necessario elaborare sia i dati personali del dentista che del medico di base per garantire che le loro qualifiche, condotta morale ed etica soddisfino gli standard stabiliti del paese in cui si trova la tua clinica medica.
Interesse legittimo
La tua organizzazione potrebbe essere in grado di trattare i dati delle persone per questioni di interessi legittimi, a condizione che tali interessi (commerciali, protezione dei tuoi beni, ecc.) non creino uno squilibrio a scapito dei diritti e degli interessi degli individui.
Sebbene il GDPR e la pertinente giurisprudenza della Corte di Giustizia dell'Unione europea (CGUE) prevedano esempi di interessi legittimi, non esiste un elenco esaustivo.
Tuttavia, è necessario assicurarsi che questo interesse rispetti un certo numero di requisiti:
- deve essere lecito, chiaro, concreto e attuale;
- il trattamento deve essere necessario per perseguire tale interesse;
- l'interesse legittimo deve tener conto dei diritti dell'individuo alla protezione dei dati, che non possono essere ignorati. Nel contesto di tale requisito, il responsabile del trattamento deve bilanciare il proprio interesse legittimo con gli interessi o i diritti e le libertà fondamentali delle persone fisiche e deve anche considerare ciò che possono ragionevolmente aspettarsi. Tale esercizio di bilanciamento deve essere effettuato alla luce delle condizioni concrete in cui tali operazioni sono effettuate.
Nella pratica
Gestisci un'azienda di ristrutturazione. Uno dei tuoi clienti contesta la qualità della ristrutturazione della cucina e si rifiuta di pagare il conto per intero. Come primo passo, trasferisci i dati del cliente al tuo avvocato per negoziare un accordo con il cliente. Poiché il cliente si rifiuta ancora di pagare, assumi un'agenzia di recupero crediti. Trasferisci solo i dati personali necessari per la procedura all'agenzia di recupero crediti e l'agenzia effettua solo controlli limitati a confermare i dati di contatto del cliente e avviare un procedimento giudiziario.
Sebbene la prima fase possa ancora rientrare nel trattamento necessario per l'esecuzione di un contratto, ulteriori misure adottate, come l'assunzione di un'agenzia di recupero crediti, potrebbero essere considerate nell'interesse legittimo del titolare del trattamento. Poiché le azioni intraprese dall'agenzia non sono troppo invadenti e l'impatto sul cliente è limitato, l'interesse legittimo potrebbe essere una base giuridica adeguata.
Trattamento di dati personali sensibili
Requisiti aggiuntivi si applicano se si intende trattare dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e il trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica. Queste categorie speciali di dati sono comunemente denominate "dati sensibili".
Il trattamento dei dati sensibili è generalmente vietato, salvo nei seguenti casi specifici.
- L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati sensibili.
- Il trattamento dei dati sensibili è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego, della sicurezza sociale e della protezione sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati sensibili di una persona per poter determinare se ha diritto a determinate prestazioni di sicurezza sociale o stipendio.
- Il trattamento dei dati sensibili è necessario per tutelare gli interessi vitali di una persona in cui la persona fisica o giuridica non è in grado di dare il proprio consenso. Ad esempio, se una persona viene lasciata incosciente a seguito di un incidente e richiede cure mediche immediate, potrebbe essere necessario trattare la sua categoria speciale di dati personali per la somministrazione delle cure mediche appropriate.
- Il trattamento dei dati sensibili è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei propri membri, ex membri o persone che hanno contatti regolari con essa.
- I dati sensibili sono stati manifestamente resi pubblici dagli interessati.
- Il trattamento dei dati sensibili è necessario nell'ambito di procedimenti giudiziari.
- Il trattamento dei dati sensibili è necessario per questioni di interesse pubblico essenziale.
- Il trattamento dei dati sensibili è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati sensibili di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
- Il trattamento dei dati sensibili è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati sensibili delle persone può essere necessario per garantire un'alta qualità dell'assistenza sanitaria e un'alta qualità dei prodotti sanitari, o per combattere gravi minacce per la salute, come i virus.
- Il trattamento dei dati sensibili è necessario per questioni di archiviazione nel pubblico interesse o per scopi scientifici, statistici, storici o di ricerca. Ad esempio, il trattamento di dati sensibili può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore.
Lista di controllo per il trattamento di dati personali sensibili
- Chiedersi se è necessario trattare le categorie particolari di dati personali di un individuo per il trattamento previsto.
- Identificare la base giuridica (= giustificazione giuridica) per il trattamento dei dati personali di un individuo. È necessario fare riferimento all'articolo 6 del GDPR.
- Identificare se sono rispettate le condizioni aggiuntive per il trattamento dei dati sensibili. È necessario fare riferimento all'articolo 9 del GDPR.
- Identificare i rischi e le garanzie di protezione dei dati, come le misure tecniche e organizzative, che la tua organizzazione potrebbe dover mettere in atto per il trattamento di categorie particolari di dati personali di alcuni individui.
- Non dimenticare di tenere un registro dei motivi del trattamento delle categorie particolari di dati personali di un individuo, dei rischi che ciò può comportare e delle misure che hai messo in atto per attenuare tali rischi.