Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

Basi di liceità del trattamento, come scegliere ed essere compliant al GDPR

Alla luce del GDPR e delle norme in materia di privacy e protezione dei dati personali, ecco tutto ciò che bisogna tenere a mente per scegliere in modo corretto le basi di liceità del trattamento dei dati

02 Dic 2019
C
Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.


Scegliere le corrette basi di liceità del trattamento non è mai stato così importante. Di seguito una breve classificazione di quanto contenuto all’interno dell’art. 6 del GDPR e delle fonti normative da prendere in considerazione al fine di operare una scelta conforme alla normativa vigente.

A sottolineare l’importanza del tema, la pubblicazione delle “Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects – version for public consultation” emanate dall’EDPB così come anche le prime sanzioni dell’Autorità di vigilanza greca (HDPA) a PWC in merito all’erronea valutazione della corretta base di liceità del trattamento, segnano un punto inequivocabile su come i titolari del trattamento siano chiamati a qualificare correttamente la base di liceità del trattamento dei dati nonché a fornire le relative giustificazioni in relazione alla scelta fatta.

Il contesto

Partendo dall’analisi dell’art. 6 del GDPR e dell’assunto per cui il Regolamento conferma, nei suoi tratti generali, che ciascun trattamento effettuato dal titolare del trattamento dovrà basarsi e trovare il proprio fondamento all’interno di un’idonea base giuridica, si elencano nel seguito, per poi essere trattati sistematicamente, i fondamenti di liceità indicati all’interno della normativa di riferimento:

  • espressione del consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
  • la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Si badi bene che queste basi di liceità sono quelle specificatamente contenute all’interno del Regolamento e che indicazioni più puntuali sulla corrispondenza base di liceità/specifico trattamento possono essere rinvenute all’interno delle diverse linee guida emanate dall’Autorità Garante nazionale e dall’EDPB, così come anche nella normativa nazionale di riferimento (i.e. D.lgs. 101/2018) e nei Codici di Condotta vigenti (non da ultimo si veda il “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” secondo il quale: […] Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC secondo i termini e le condizioni stabilite nel Codice di condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità di cui al presente Codice di condotta. Pertanto, non è necessario acquisire il consenso dell’interessato).

Basi di liceità del trattamento: il consenso degli interessati

Il consenso rappresenta sicuramente una delle pietre miliari di tutta la normativa in materia di tutela e protezione dei dati. Oggi il consenso deve essere valutato come condizione di liceità sullo stesso livello di quelle previste ex art. 6 del GDPR con la particolare attenzione che per essere prestato validamente deve rispettare quelli che sono i requisiti previsti ex art. 7 del GDPR.

Sebbene, come sopra anticipato, il consenso rappresenta sicuramente la base giuridica più nota nonché quella più indiscriminatamente utilizzata anche quest’ultima non deve essere richiamata come fondamento di liceità del trattamento in modo improprio.

Infatti, richiamando quanto previsto dalla Linee guida in materia n. 259 emanate WP29, ora EDPB “Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio”.

Per intenderci se un cliente/interessato decide di aprire un conto corrente o di stipulare un contratto di telefonia mobile ed il titolare nell’informativa fornita ex art. 13 del GDPR basa tale trattamento dei dati, ottenuti per l’erogazione del servizio e pertanto necessari per l’apertura delle relative pratiche, sul consenso e non sulla base di liceità prevista ex art. 6 comma b) del GDPR (i.e. l’esecuzione di un contratto di cui l’interessato è parte) è presumibile che tale trattamento risulti invalido; è evidente che il cliente non abbia avuto la possibilità di accettare o meno i termini proposti senza subire pregiudizio (i.e. il consenso non sarà prestato liberamente).

Caso diverso sarebbe quello di un’attività di promozione e/o marketing, ulteriore e accessoria rispetto alla prestazione principale, che inevitabilmente non potrebbe che essere legittima se non fondata sul consenso. In questo caso l’interessato potrebbe prestare liberamente il consenso senza subire alcun pregiudizio (o almeno così si spera) rispetto all’esecuzione della prestazione principale per la quale si è rivolto al titolare del trattamento.

Sul punto è doveroso ricordare la sanzione comminata dall’Autorità Garante greca alla Società PWC per errata individuazione della base giuridica per il trattamento dei dati personali dei dipendenti (per maggiori approfondimenti si veda il parere numero 2|2017 del WP29 sul trattamento dei dati sul posto di lavoro secondo il quale “È importante riconoscere che i dipendenti si trovano raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro dipendente. Salvo in situazioni eccezionali, i datori di lavoro dovranno basarsi su un fondamento giuridico diverso dal consenso, ad esempio la necessità di trattare i dati per un loro legittimo interesse”).

Basi di liceità del trattamento: l’esecuzione di un contratto

Tale condizione di liceità, che all’apparenza pare di facile comprensione, riguarda esclusivamente il rapporto contrattuale o le misure precontrattuali di cui l’interessato risulta essere parte.

Generalmente l’esecuzione di un contratto o di misure precontrattuali richiede, per sua natura, un trattamento di dati riferibili al soggetto interessato che come richiamato ut supra non può essere condizionato al consenso il quale risulterebbe non liberamente prestato.

Infatti, è insito in ciascuna tipologia contrattuale un trattamento di dati necessario per la soddisfazione del servizio/rapporto contrattualizzato. Sul punto, al fine di risultare il più esaustivo possibile ma anche con la speranza di stimolare la curiosità dei lettori, vale la pena richiamare le “Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects – version for public consultation” che, benché riferite ad uno specifico ambito di utilizzo, forniscono chiare e precise indicazioni generale sulla liceità del trattamento a norma dell’art. 6 comma b) del GDPR.

All’interno delle stesse si evince come affinché il Data Controller voglia basare correttamente il trattamento sull’esecuzione di un contratto o di misure precontrattuale dovrà dimostrare:

  • l’esistenza di tale contratto/misure precontrattuali;
  • la validità di tale contratto/misure precontrattuali sulla base della normativa applicabile;
  • che il trattamento di quei dati forniti dall’interessato sia oggettivamente necessario per l’esecuzione del contratto/delle misure precontrattuali.

E ancora, al fine di verificare l’applicazione della base di liceità di cui sopra, ci si dovrebbe porre delle domande guida fondamentali:

  • qual è la natura del servizio prestato all’interessato? Quali sono le sue caratteristiche fondamentali?
  • qual è l’esatto fondamento logico del contratto?
  • quali sono gli elementi fondamentali del contratto?
  • quali sono le aspettative reciproche delle controparti contrattuali?
  • l’interessato ordinario potrebbe ragionevolmente aspettarsi, data la natura del contratto, che il trattamento dei dati sia posto in essere al fine di dare esecuzione al contratto di cui è parte?

Attenzione dunque a non utilizzare tale base di liceità come farmaco per ogni male.

Salvaguardia degli interessi vitali dell’interessato

Qualche spunto di riflessione merita l’art. 6 comma d) in relazione al trattamento perla salvaguardia degli interessi vitali dell’interessato.

In tale contesto ed anche richiamando il considerando 46 del GDPR si ricorda che il trattamento dei dati personali dovrebbe essere considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica.

In particolare, il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica.

Alcuni tipi di trattamento di dati personali rientranti in tale fattispecie potrebbero essere per esempio, il trattamento necessario per:

  • fini umanitari;
  • tenere sotto controllo l’evoluzione di epidemie e la loro diffusione;
  • gestire casi di emergenze umanitarie;

gestire casi di catastrofi di origine naturale e umana.

Basi di liceità del trattamento: adempimento di obblighi legali

Non molto si può dire sull’art. 6 comma c) ed e) stante la portata alquanto generale della disposizione regolamentare e del fatto che la stessa vada:

  • applicata e valutata sui singoli obblighi legali di ciascun settore di operatività del Titolare del trattamento;
  • valutata in relazione alla normativa nazione e più nello specifico dell’art. 2-ter del Codice Privacy così come modificato e integrato dal D.lgs. 101/2018.

È tuttavia opportuno ricordare che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri basato sul diritto dell’Unione o di uno Stato membro, è lecito anche senza il consenso dell’interessato.

A tal proposito il Regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento ma un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento.

Basi di liceità del trattamento: il legittimo interesse

Ultimo non certamente per importanza, tenuto anche conto della sua natura innovativa, è il trattamento che si fonda sul legittimo interesse.

In tale contesto il titolare del trattamento potrà basare il trattamento del dato non sulle condizioni di liceità fino a questo momento viste ma su questo particolare istituto a condizione che non prevalga sugli interessi, diritti e libertà fondamentali dell’interessato.

Il legittimo interesse rappresenta quella relazione equilibrata, pertinente ed appropriata esistente tra l’interessato ed il titolare del trattamento, dove spetta a quest’ultimo valutare se è ragionevole presupporre che l’interessato si aspetti quel tipo di trattamento.

Per portare alcuni esempi si fonda certamente sul legittimo interesse la trasmissione di dati personali all’interno del gruppo imprenditoriale per finalità amministrative interne compreso il trattamento di dati personali dei clienti o dei dipendenti, così come anche il trattamento a fini di prevenzione delle frodi così come anche il marketing diretto.

Su quest’ultimo punto al fine di evitare inutili fraintendimenti è importante ricordare che il GDPR non autorizza il titolare del trattamento ad affermare che qualsiasi campagna di marketing diretto possa basarsi sul legittimo interesse (a discapito ovviamente del consenso) ma, piuttosto, che vi sono casi in cui il rapporto preesistente e consolidato tra interessato e titolare possa giustifica l’invio di singole comunicazioni commerciali e non anche attività di trattamento ultronee ed invasiva.

Infatti, richiamando le Linee guida n 251 del WP 29 in materia “sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità, ad esempio quelle che comportano il tracciamento di persone fisiche su più siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati”.

Alcuni spunti di riflessione interessanti si possono trovare, benché datate, nelle WP ex art. 29 n. 217 (cfr. “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”).

Infine, il legittimo interesse può essere validamente utilizzato per giustificare l’introduzione di misure di sicurezza che il titolare deve implementare ex art. 32 del GDPR che determinano un trattamento dei dati personali non fondabile su diversa condizione di liceità.

Come ad esempio, così come precisato dal Considerando 49, il trattamento di dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione (i.e. vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche ecc.).

Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.

Conclusione

Concludendo possiamo dire che:

  • la scelta delle basi di liceità del trattamento è fondamentale affinché il trattamento stesso sia valido fin dall’origine;
  • il titolare del trattamento non ha ampia discrezionalità nella scelta, avvalendosi di basi utilitaristiche, ma dovrà valutare (nel rispetto del principio di accountability ex art. 24 del GDPR) quale è la base giuridica più idonei a giustificare il trattamento del dato;
  • non sempre l’utilizzo del consenso, così come anche l’esecuzione di un contratto, vale come panacea per la validità del trattamento;
  • il legittimo interesse costituisce un’ottima base di liceità di trattamento ma solo se utilizzata secondo i canoni, seppur ancora non particolarmente chiari, indicati da normativa.

In questo ambito più che mai, dimostrare l’accountability, e dunque di aver valutato ed applicato le corrette basi di liceità del trattamento, fa la differenza tra l’essere sanzionati e il non esserlo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5