GDPR: principi generali del trattamento dei dati personali

gdpr

L’articolo 5 del Regolamento (UE) 2016/679, fissa i principi per il trattamento dei dati personali che riassumiamo brevemente:

  1. liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  2. limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  3. minimizzazione dei dati: ossia, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  4. esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione di quelli che risultino inesatti rispetto alle finalità del trattamento;
  5. provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  6. garantire integrità e riservatezza dei dati personali oggetto del trattamento.

Il Regolamento (art.5, paragrafo 2) introduce il principio detto di “responsabilizzazione” (o accountability), esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”

Assicurare la liceità del trattamento di dati personali

Il Regolamento, come già il d.lgs 196/2003 Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

  • consenso,
  • interessi vitali della persona interessata o di terzi,
  • obblighi di legge cui è soggetto il titolare,
  • interesse pubblico o esercizio di pubblici poteri,
  • interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle particolari condizioni fissate all’articolo 9, paragrafo 2 del Regolamento stesso.

I fondamenti di liceità del trattamento di dati personali
  1. Consenso

Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso, che è valido se:

  • all'interessato è stata resa l'informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
  • è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

La richiesta di consenso deve essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno di modulistica. Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Quando il trattamento riguarda le “categorie particolari di dati personali”, previste dall’articolo 9, il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
Infine, il consenso non deve necessariamente essere “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare il consenso come inequivocabile ed  “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

  1. Interesse vitale di un terzo

E’ base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

  1. Interesse legittimo prevalente di un titolare o di un terzo

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato.
Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento 2016/679. L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

  1. Trasparenza del trattamento: l’informativa agli interessati

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).

TEMPISTICA DELL’INFORMATIVA

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).
Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

CONTENUTI DELL’INFORMATIVA

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.

In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente.
L’informativa deve specificare se il trattamento comporta processi decisionali automatizzati (anche la profilazione), e deve indicare la logica di tali processi decisionali e le conseguenze previste per l’interessato.

MODALITA’ DI TRASMISSIONE E FORMULAZIONE DELL’INFORMATIVA

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto di alcune caratteristiche (articolo 12, paragrafo 1).
Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.
Il Regolamento prevede che l’informativa debba essere formulata in un linguaggio chiaro e semplice, il più possibile comprensibile e trasparente per l’interessato. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee.

Mappare i vari ambiti di trattamento e predisporre la modulistica adeguata, è il primo passo per iniziare il percorso di adeguamento al Nuovo Regolamento Europeo Privacy.

Vuoi saperne di più?
Partecipa al nostro prossimo Seminario formativo gratuito!

GDPR

Oppure

Un nuovo attacco informatico: il trojan URSNIF arriva via mail dai vostri contatti

Metis Solutions, grazie all'esperienza maturata nell'assistenza concreta
sull'applicazione della legge sulla privacy e suoi regolamenti di attuazione,
può fornire il Servizio di consulenza in ambito GDRP.

Fonte dei contenuti: www.garanteprivacy.it