Come la precedente normativa, anche il regolamento generale europeo (GDPR) stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica.
La base giuridica è ciò che autorizza legalmente il trattamento così soddisfacendo il principio di liceità. In assenza di una base legale il trattamento è illecito.
Il titolare del trattamento ha l’obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere, e questo prima di iniziare il trattamento. Cioè, non è libero di scegliere la base giuridica che preferisce, ma deve deve rispettare le condizioni previste dal GDPR in relazione alle caratteristiche di ciascuna delle basi indicate nell’art. 6, ed essere sempre in grado di dimostrare la correttezza della scelta fatta. Ogni base giuridica, infatti, obbedisce a condizioni specifiche, e ha differenti conseguenze sui diritti delle persone. Ovviamente non esiste una gerarchia tra le diverse basi giuridiche. In particolare la base giuridica non si trasmette da un titolare all’altro, in caso di titolari congiunti, quindi, ogni titolare deve stabilire e giustificare la propria base giuridica perché il trattamento sia lecito.
La base giuridica deve essere indicata nell’informativa rivolta agli utenti. Inoltre è utile documentare la scelta della base giuridica, e menzionare la base giuridica nel registro dei trattamenti. Per il trattamento dei dati di cui all’art. 9 (dati sensibili), oltre ad individuare una corretta base giuridica, occorre fare riferimento alle condizioni previste nell’articolo indicato.
L’articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito. E’ importante evidenziare che, tranne per il consenso, l’articolo fa riferimento sempre al criterio di “necessità” (se il trattamento è necessario per…) che deve essere interpretato in maniera restrittiva.
1) Consenso
Il consenso dell’interessato autorizza il trattamento dei dati. Il consenso deve essere specifico, cioè legato ad una finalità precisa. Se il trattamento è basato sul consenso il titolare del trattamento deve fornire l’informativa e garantire la portabilità dei dati.
Le autorità di protezione dei dati incoraggiano attivamente le imprese a superare l’intero processo di acquisizione del consenso per il trattamento dei dati personali. Questo perché il “consenso” non è ritenuto affidabile, nel senso che poche persone in realtà prendono una decisione “specifica, informata ed inequivocabile”. Ben pochi, infatti, leggono le informative in materia. Il consenso è ritenuto, quindi, un onere per le imprese difficile da attuare per come è configurato. Le persone non vogliono essere bombardate dagli odiosi cookie banner, e comunque un banner dovrebbe contenere molte più informazioni di quante generalmente ne contiene, degradando enormemente l’esperienza di navigazione online. Ecco perchè esistono molti casi nei quali la base giuridica del trattamento è diversa dal consenso.
Teniamo presente, inoltre, che il regolamento europeo supera la vecchia prospettiva della visione proprietaria del dato, per il cui trattamento occorre il consenso, passando ad un prospettiva di controllo del dato, in base alla quale l’interessato deve sapere se i suoi dati sono usati e se sono usati in modo da proteggerlo dai rischi che il trattamento può provocare.
Leggi l’approfondimento -> Consenso al trattamento
2) Adempimento di obblighi contrattuali o misure precontrattuali
Il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso interessato. Il trattamento dei dati personali non realmente necessario per l’esecuzione del contratto non può utilizzare questa base giuridica, il criterio di necessità deve ritenersi soddisfatto solo se il contratto non può essere integralmente eseguito senza il trattamento dei dati (Tribunale amministrativo dell’Austria).
Occorre ovviamente l’informativa, e deve essere garantita la portabilità dei dati.
3) Obblighi di legge cui è soggetto il titolare del trattamento
L’obbligo legale deve soddisfare quattro condizioni:
– deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento (in base all’art. 2-ter del Codice Privacy, solo norme di legge o, nei casi previsti dalla legge, di regolamento);
– tali disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali, sufficientemente chiaro e preciso;
– tali disposizioni devono almeno definire le finalità del trattamento in questione;
– tale obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento.
Nel caso di trattamento dei dati necessario per l’adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l‘informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità è specificata dalla legge. I trattamenti basati sull’obbligo legale non sono soggetti al meccanismo di cooperazione dello sportello unico (one stop shop), per cui il Garante nazionale rimane il solo competente.
Può riguardare anche organizzazioni private. L’organizzazione deve comunque garantire che non vi sia un metodo più invasivo per raggiungere lo scopo. Ad esempio, il datore di lavoro può utilizzare sistemi meno invasivi, rispetto alla videosorveglianza, per garantire la sicurezza dei lavoratori.
Il trattamento di dati personali relativi a condanne penali e reati o a connesse misure di sicurezza (art. 10 GDPR) deve avvenire soltanto:
– sotto il controllo dell’autorità pubblica; o
– se autorizzato dal diritto UE o da quello degli Stati membri che preveda garanzie appropriate per diritti e libertà degli interessati.
L’art. 2-octies del Codice Privacy precisa che tale trattamento è ammesso solo:
– se autorizzato da una norma di legge o,nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati (fatto salvo il D.Lgs. 51/2018);
– in mancanza, decreto del Ministro della giustizia.
4) Interessi vitali della persona interessata o di terzi
Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, come nel caso di un incidente stradale oppure se l’interessato si trova nell’incapacità fisica di prestare il consenso (una persona si sente male mentre si trova nel vostro ufficio, questa base giuridica consente di trattare i suoi dati al fine di chiamare un’ambulanza). L’interesse deve essere così importante per la vita dell’interessato che questi consentirebbe di porre in essere un determinato trattamento di dati senza ulteriori presupposti.
Si può utilizzare come base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione. In questo caso non occorre il consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l‘informativa, nella quale va indicata la base giuridica del trattamento.
5) Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati
Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l‘informativa, nella quale va indicata la base giuridica del trattamento.
Si rinvia all’approfondimento -> Trattamenti basati sui legittimi interessi del titolare
6) Interesse pubblico o esercizio di pubblici poteri
Questa base giuridica si applica in particolare per il trattamento effettuato dalle autorità pubbliche necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (es. fini umanitari, controllo di epidemie, catastrofi naturali e umane) di cui è investito il titolare del trattamento (tramite legge statale o dell’Unione). E’ la norma giuridica (legge, regolamento o decreto) che deve indicare i compiti, e quindi l’interesse pubblico. Può riguardare anche organizzazioni private che svolgono compiti di interesse pubblico.
L’art. 2 -sexies del Codice Privacy precisa che la finalità di interesse pubblico deve essere prevista dal diritto UE ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino:
– i tipi di dati che possono essere trattati;
– le operazioni eseguibili e il motivo di interesse pubblico rilevante;
– le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il comma 2 elenca alcune ipotesi di interesse pubblico rilevante stabilite dalla legge (e.g. accesso a documenti amministrativi e accesso civico; tenuta di registri pubblici relativi a beni immobili o mobili; attività di controllo e ispettive).