Course sections

LEGGE DEL TRATTAMENTO (articolo 6. GDPR), Lecture 1

LEGGE DEL TRATTAMENTO (articolo 6. GDPR)

Questo articolo tratta il concetto di liceità del trattamento. Cosa significa? Il trattamento dei dati personali dei clienti / utenti (ad es. Indirizzo e-mail) può essere lecito solo in determinate circostanze di cui all’articolo 6. Vi sono solo 6 basi valide per il trattamento dei dati personali: consenso, necessità contrattuale, conformità con gli obblighi di legge, interessi vitali, interesse pubblico, interessi legittimi.

a) L’interessato ha dato il consenso al trattamento dei propri dati personali per uno o più scopi specifici

La base valida più rilevante per il trattamento dei dati personali è il “consenso”. Ai sensi dell’articolo 6, “l’interessato” deve dare il consenso per l’uso dei loro dati. Per essere più precisi – se i dati devono essere utilizzati per uno scopo diverso da quello originariamente consentito dal consumatore, il “responsabile del trattamento dei dati” deve determinare se questo nuovo scopo è appropriato. Le relazioni tra i due utenti sono le considerazioni chiave che includono il contesto in cui i dati sono stati acquisiti e se esistono misure di protezione dei dati come la crittografia per proteggere il consumatore. Tuttavia, ai sensi del GDPR, il consenso valido diventa significativamente più difficile da ottenere. È molto importante ricordare che quando viene scelto il consenso per una particolare attività di trattamento, dobbiamo seguire tutte le regole e i diritti relativi al consenso. Avere una base lecita in relazione a ciascuna attività di trattamento è un obbligo delle organizzazioni.

b) Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o al fine di prendere provvedimenti su richiesta dell’interessato prima di stipulare un contratto

La necessità contrattuale rimane una base legale per il trattamento dei dati personali. “Il rispetto degli obblighi legali” rimane una base legale per il trattamento dei dati personali. Fondamentalmente, l’UE può porre organizzazioni che sono soggette a provvedimenti giudiziari extra UE per divulgare i dati in una posizione difficile, gli aspetti rilevanti sono il fatto che questa base giuridica è esplicitamente limitata agli obblighi legali derivanti. Necessario non significa che il trattamento deve essere base ai fini dell’adozione di pertinenti misure precontrattuali o dell’esecuzione di un contratto. Inoltre, deve essere un modo mirato e proporzionato per raggiungere tale scopo. Se esistono altri modi ragionevoli e meno invadenti per adempiere ai propri obblighi contrattuali o adottare le misure richieste, questa base legale non si applica.

Il trattamento deve essere necessario con questa persona in particolare per consegnare una parte del contratto. Questa base legale non si applicherà se il trattamento è necessario solo per mantenere un modello di business più in generale e dovremmo considerare un’altra base legale, come gli interessi legittimi.

c) Il trattamento è necessario per l’adempimento di un obbligo legale a cui è soggetto il responsabile del trattamento

Se stiamo elaborando sulla base di obblighi legali, l’interessato non ha diritto alla cancellazione, al diritto alla portabilità dei dati o al diritto di opposizione. Il responsabile del trattamento è tenuto a trattare i dati personali per un obbligo legale. Fondamentalmente, fintanto che l’applicazione della legge è prevedibile per quegli individui soggetti, non deve essere un obbligo legale esplicito. In breve, include chiari obblighi di diritto comune. Il punto è che lo scopo generale deve essere quello di ottemperare a un obbligo legale che abbia una base sufficientemente chiara nella legge comune o nello statuto. Ciò non significa che ci debba essere un obbligo legale che richiede specificamente l’attività di elaborazione specifica.

d) Il trattamento è necessario al fine di proteggere gli interessi vitali dell’interessato o di un’altra persona fisica

Ai sensi del GDPR, la condizione di elaborazione degli interessi vitali può estendersi ad altre persone (ad esempio, i figli dell’interessato). Gli interessi vitali possono ora fornire una base per l’elaborazione, non solo quelli dell’interessato stesso. Per identificare se è in corso un’elaborazione per questo motivo o è probabile che sia necessario elaborarla per tale motivo in futuro, è necessario rivedere l’elaborazione esistente. Dovresti quindi documentare dove ti affidi su questa base e informare le persone se pertinenti. In tal modo, questa base legale generalmente si applica solo a questioni di vita o di morte ed è molto limitata nella sua portata. Nel caso in cui l’interessato non sia in grado di fornire il consenso al trattamento, i dati personali quando è necessario possono essere trattati per scopi medici e per cure mediche di emergenza. Un’altra base lecita come un compito pubblico o interessi legittimi è probabilmente più appropriata in questo caso.

e) Il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio dell’autorità ufficiale investita del responsabile del trattamento

L’interesse pubblico rimane una base lecita per il trattamento dei dati personali. Si noti inoltre che il trattamento effettuato su questa base può essere soggetto a obiezioni da parte degli interessati. È più rilevante per le autorità pubbliche, ma può applicarsi a qualsiasi organizzazione che eserciti l’autorità ufficiale o svolga compiti di interesse pubblico. Il trattamento deve essere necessario. Questa base legale non si applica se potessi ragionevolmente svolgere i tuoi compiti o esercitare i tuoi poteri in modo meno invadente. Per aiutarti a dimostrare la conformità, se necessario, documenta la tua decisione di fare affidamento su questa base. Dovresti essere in grado di specificare l’attività, la funzione o il potere pertinenti e di identificarne la base legale o di diritto comune. Non esiste un test di interesse pubblico aggiuntivo se è possibile dimostrare che si sta esercitando l’autorità ufficiale, incluso l’uso di poteri discrezionali. Tuttavia, devi essere in grado di dimostrare che l’elaborazione è “necessaria” a tale scopo. “Necessario” significa che l’elaborazione deve essere un modo mirato e proporzionato per raggiungere il tuo scopo. Se esiste un altro modo ragionevole e meno invadente per ottenere lo stesso risultato, non si dispone di una base legale per l’elaborazione.

Il termine “compito pubblico” in questa guida che usiamo per aiutare a descrivere ed etichettare questa base legale. Ad ogni modo, questo non è un termine usato nel GDPR stesso. Il focus di quanto sopra dovrebbe essere sulla dimostrazione che stai svolgendo un compito di interesse pubblico o che stai esercitando l’autorità ufficiale.

f) Il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da una terza parte, tranne quando tali interessi sono sostituiti dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare laddove l’interessato è un bambino

I legittimi interessi rimangono una base legale per il trattamento dei dati personali. Si noti inoltre che il trattamento effettuato su questa base può essere soggetto a obiezioni da parte degli interessati. È richiesto il permesso dei genitori per elaborare i dati personali dei minori (e si noti che un minore è chiunque abbia meno di 16 anni). In alcuni contesti (specialmente online) è difficile dimostrare che è stata ottenuta l’autorizzazione dei genitori. Il GDPR è più chiaro che devi dare un peso particolare alla protezione dei dati dei minori.

Gli interessi legittimi sono la base legale più flessibile per l’elaborazione, ma non si può presumere che sarà sempre la più appropriata. È probabile che sia più appropriato laddove utilizzi i dati delle persone in modi ragionevolmente prevedibili e che abbiano un impatto minimo sulla privacy o laddove esista una giustificazione convincente per l’elaborazione. Stai assumendo la responsabilità extra di considerare e proteggere i diritti e gli interessi delle persone se scegli di fare affidamento su interessi legittimi. Devi dire alle persone nelle tue informazioni sulla privacy che fai affidamento su interessi legittimi e spiegare quali sono questi interessi. Se desideri elaborare i dati personali per un nuovo scopo, potresti essere in grado di continuare il trattamento con interessi legittimi purché il tuo nuovo scopo sia compatibile con il tuo scopo originale.