Il Garante della privacy, con il comunicato del 28 aprile scorso, ha pubblicato le prime linee guida all’applicazione del Regolamento Ue 20167679, in materia di protezione e trattamento dei dati personali, avente piena ed immediatea efficacia ormai a partire dal 25 maggio 2018.
La guida fornisce indicazioni utili sulle procedure e sugli adempimenti necessari per una corretta applicazione delle nuove norme, rappresentando così un primo strumento di ausilio per tutte le realtà, pubbliche e private, che stanno affrontando il passaggio alla nuova normativa.
Il testo segue un percorso tematico diviso in aree ben distinte, ma l’argomento certamente di maggiore interesse è quello relativo alla liceità del trattamento, alla base dell’intero impianto normaivo europeo.
L’articolo 6, stabilisce che il trattamento è lecito laddove ricorra almeno una delle seguenti condizioni:
- a) espressione del consenso da parte dell’inreressato, al trattamento dei propri dati personali per una o più specifiche finalità;
- b) trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- c) trattamento necessario all’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
- d) trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- e) trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- f) trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (tale condizione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti).
Sulla base di tale disposizione, è evidente che ogni trattamento debba avere base giuridica e i fondamenti di liceità, sopra indicati, coincidenti con quelli previsti ex D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali).
Per quanto riguarda l’acquisizione del consenso, il Regolamento Ue stabilisce che non è necessaria la forma scritta.
Quest’ultima, tuttavia, è la modalità più adeguata a garantire l’inequivocabilità del consenso, nonche a garantire la sussistenza di una dellecaratterische richieste ex art. 9 del regolamento ovvero il suo essere esplicito.
Il Regolamento, inoltre, all’art. 7 stabilisce che, qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso al trattamento dei propri dati personali, e la forma scritta è decisamente quell ache si presta meglio ad ottemperare a tale disposizione.
Nella medesima norma, si regola, invece, il caso in cui il consenso dell’interessato sia prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni: in tale ipotesi la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Il regolamento Ue fissa un’età minima a partire dal quale il consenso di può considerare “lecito” che coincide con i 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ha la responsabilità genitoriale.
Come già previsto nel D.Lgs. 196/2003, il consenso deve essere sempre libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (per esempio, non sono ammesse caselle pre-spuntate su un modulo).
Il consenso deve essere manifestato attraverso una dichiarazione o un’azione positiva inequivocabile.
Il consenso raccolto da società ed imprese, precedentemente al 25 maggio 2018, resta valido se possiede tutte le caratteristiche appena descritte.
In caso contrario, devono adeguarsi alla nuova normative, attivandosi per garantire il rispetto delle nuove procedure.
In base all’art. 6, par. 1, lett. d), Regolamento Ue, il trattamento è lecito, tra le altre ragioni, quando, in mancanza del consenso, il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un terzo.
Tale base giuridica già prevista dall’art. 24, comma 1, lett. e), D.Lgs. 196/2003, vienre rinnovata dal Regolamento Ue, rispetto alla definizione dell’importanza di tale condizione, che è da considerarsi residuale rispetto alle altre; infatti, in base al considerando n. 46 in premessa al regolamento Ue specifica, si può ricorrere a tale base giuridica se nessuna della altre condizioni previste dall’art. 6 può trovare applicazione.
Il trattamento è lecito, anche in mancanza di consenso, se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, purchè non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, che richiedono la protezione dei dati personali, specie se l’interessato è un minore.
Il Regolamento Ue sancisce espressamente che tale condizione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti, sostanzialmente perché le pubbliche amministrazioni devono perseguire sempre l’interesse pubblico.
Tale condizione legittima un trattamento lecito, in mancanza di consenso, solo ed esclusivamente se l’interesse legittimo del titolare o del terzo prevale sui diritti e sulle libertà fondamentali dell’interessato.
In particolare, il titolare del trattamento deve tenere conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare stesso e all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.
RIPRODUZIONE RISERVATA