LAST NEWS
La sicurezza nel campionamento di suoli con possibile presenza di amiantoFascicolo sanitario elettronico: nessuna scadenza per l’inserimento dei datiGarante privacy a un call center: tutelare la dignità dei lavoratoriTik Tok, a rischio la privacy dei minori: il Garante avvia il procedimento contro il social networkNorme igieniche e precauzioni per la ristorazione con servizio d’asporto e a domicilio: linee guida ISSQuestura non rettifica i dati, il Garante privacy sanziona il Ministero dell’internoWi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utentiTelemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euroReferti on line accessibili ad altri pazienti, il Garante sanziona un policlinicoNuove ispezioni del Garante su fatturazione elettronica, data breach e food deliverySpid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitaleConcorsi pubblici, Garante: i dati dei partecipanti devono essere blindatiReferti online – Le domande più frequentiDpcm, Conte: I sindaci possono chiudere le piazze. Didattica in presenzaNuovo Dpcm di ottobre: mascherine all’aperto, divieto di ballo e limiti alle festeFascicolo Sanitario ElettronicoRaccomandate non consegnate, multa di 5 milioni a Poste Italiane da AntitrustFacebook, l’Irlanda blocca il trasferimento dei dati verso gli Usa: i rischi per il social senza un nuovo Privacy ShieldLo smart working accelera l’evoluzione digitale, il caso di Eni: così il palazzo di vetro lavora da casaCOVID-19: come comportarsi con i lavoratori in rientro dall’estero

GDPR, come si verifica la legittimità del trattamento dati010318

I dati personali devono essere trattati, in primo luogo, in modo lecito. Sembrerebbe un concetto semplice, ma quando un trattamento concretamente può dirsi lecito?

Sul punto interviene l’art. 6 del GDPR, che ricalca per lo più la disciplina già introdotta nel nostro ordinamento dal Codice della Privacy e stabilisce che il trattamento di dati personali è effettuato in modo lecito in presenza di almeno una delle condizioni espressamente elencate.

Questi presupposti di liceità sono:

  1. il consenso esplicito dell’interessato al trattamento per finalità determinate dei propri dati;
  2. l’adempimento di obblighi assunti con un contratto di cui l’interessato è parte o l’esecuzione di attività precontrattuali dallo stesso richieste;
  3. l’adempimento di obblighi imposti dalla legge in capo al titolare;
  4. la tutela di interessi essenziali per la vita dell’interessato o di soggetti terzi (si pensi, ad esempio, a casi di trattamento a fini umanitari o in caso di epidemie);
  5. rilevanti motivi di interesse pubblico correlati all’esercizio di pubblici poteri;
  6. il perseguimento di un interesse legittimo del titolare o di un’altra persona fisica ritenuto prevalente sui diritti e sulle libertà fondamentali dell’interessato, realizzabile attraverso il trattamento di dati personali.

Per valutare la liceità del trattamento viene in gioco, in primo luogo, il consenso che il titolare deve aver ricevuto dalla persona a cui i dati personali trattati si riferiscono. Consenso rilasciato affinché i dati personali siano raccolti ed utilizzati secondo le procedure, per le finalità e per il periodo riportati chiaramente nell’informativa. L’applicazione del Regolamento non comporterà in automatico l’illiceità del consenso acquisito in precedenza durante la vigenza del Codice della Privacy: il consenso già ricevuto rimarrà infatti valido qualora rispetti tutti i requisiti richiesti dal GDPR. Vediamo allora quali sono gli elementi rilevanti.

Per prima cosa, il consenso, ai sensi del GDPR, come sotto la disciplina del Codice della Privacy, deve sempre essere specifico, libero e inequivocabile: non è corretto e comporta una violazione del GDPR, quindi, l’utilizzo di caselle pre-spuntate sui moduli – siano cartacei o informatici – o di un’unica casella comprensiva di trattamenti aventi diverse finalità (ad esempio, per il consenso richiesto per adempiere ad un contratto e per l’invio di newsletter non può essere sufficiente un “flag” unico). L’interessato infatti deve avere la possibilità di fare una scelta veramente autonoma e di poter rifiutare (o eventualmente revocare) il consenso senza subire conseguenze negative. In particolare, poi, la richiesta di consenso deve essere chiara e facilmente identificabile e non deve confondersi con altre comunicazioni rivolte all’interessato (deve, cioè, essere chiaramente distinguibile da altre richieste).

Il GDPR, inoltre, richiede espressamente che per il trattamento di dati sensibili (come previsto dall’art. 9 GDPR) e in caso di trattamenti automatizzati il consenso debba essere esplicito. Si noti che questa seconda categoria ricomprende anche le operazioni di profilazione (ai sensi dell’art. 22 GDPR).

Un’altra novità è introdotta con riguardo all’età dell’interessato. L’art. 8 del GDPR, infatti, precisa che il consenso rilasciato dall’interessato è valido (e, di conseguenza, il trattamento su di esso fondato è lecito) a partire dai 16 anni di età. Questa regola comporta che, in presenza di un soggetto di età inferiore ai 16 anni, i titolari dovranno ricevere il consenso al trattamento dai genitori o da chi fa le veci del minore.

Infine, il GDPR non pretende che il consenso sia rilasciato in forma scritta. D’altra parte, questa sarà in linea di massima la modalità più idonea ed opportuna per raccogliere il consenso dell’interessato, non solo quando si richiede che lo stesso sia esplicito (come in caso di profilazione), ma anche perché è comunque il titolare a doverne dimostrare l’inequivocabilità e la specialità (e avere traccia scritta del consenso rilasciato sarà sicuramente d’aiuto a tal fine).

Un’altra condizione di liceità che ricorre di frequente nella prassi è l’interesse legittimo di un titolare o di un terzo che prevalga sui diritti e sulle libertà fondamentali dell’interessato (ipotesi prevista dall’art. 6, co. 1, lett. f, GDPR).

E qui il Regolamento introduce una novità particolarmente rilevante, in linea con l’impostazione complessiva della normativa di responsabilizzazione dei titolari: così il bilanciamento tra interesse del terzo e diritti dell’interessato spetta direttamente al titolare del trattamento e non all’Autorità pubblica. Poiché garantire e dimostrare il rispetto delle condizioni di liceità stabilite dal GDPR è onere del titolare, è a quest’ultimo che spetta anche il compito di effettuare i dovuti bilanciamenti con altri diritti, eventualmente rilevanti, dell’interessato o di terzi e di provare su tali basi la liceità dei trattamenti svolti.


Fonte: tomshw.it

WIDGET-WPSACADEMY

WIDGET-SPOTTV

WPS Group è certificata ISO 9001:2015

Quality Management System
EA 35A & 37
ISO 9001 2015

Newsletter WPS

ico emailRimani aggiornato per non perdere novità e promozioni!

RICORDATI …

“Follia è fare sempre la stessa cosa aspettandosi risultati diversi”

Albert Einstein