Principi generali del trattamento di dati personali [1]
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
– liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
– limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
– minimizzazione dei dati: ossia, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
– esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
– limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
– integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento[2].
Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento”. Orbene le linee di maggiore novità della nuova disciplina, riguardano, in particolare, alcuni principi fondamentali, ovvero: quello di liceità del trattamento; quello di trasparenza nel trattamento; l’accountability del titolare del trattamento; il principio del risk based approach; la c.d. privacy by design e by default; i diritti degli interessati. Proprio questi principi appaiono di maggiore interesse sotto il profilo privatistico, che ha sede, in prevalenza, nel capo III (artt. 12-23), intitolato ai “Diritti dell’interessato”.
In particolare, il principio di liceità del trattamento
L’art. 5 del Regolamento generale europeo prescrive che i dati personali debbano essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato”. Il trattamento deve, quindi: essere conforme alla legge; perseguire uno scopo legittimo; essere necessario in una società democratica per perseguire uno scopo legittimo[3]. Il principio di liceità, trova specificazione nell’art. 6 del Regolamento, il quale prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica: la necessità del trattamento, consenso dell’interessato (da esprimersi in relazione ad “una o più specifiche finalità”, e dunque non genericamente[4]), adempimento di obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
I casi di necessità sono individuati dallo stesso art. 6: si tratta, per es., del trattamento “necessario all’esecuzione di un contratto di cui l’interessato è parte”; o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (occorre ovviamente l’informativa, e deve essere garantita la portabilità dei dati); o del trattamento “necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica” (come, ad esempio, le emergenze cliniche), o ancora del trattamento “necessario per adempiere un obbligo legale (regolamento o normativa comunitaria) al quale è soggetto il titolare del trattamento”, per cui non occorre consenso, non si deve garantire la portabilità dei dati, ma occorre fornire l’informativa, nella quale va indicata la base giuridica del trattamento. In questo caso la finalità deve essere specificata per legge; per “legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati”[5]. Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Gli interessi del titolare sono da valutare caso per caso, quelli che riguardano ad esempio “l’esercizio del diritto alla libertà di espressione e d’informazione, l’attività di commercializzazione diretta tradizionale e altre forme di commercializzazione o pubblicità, l’esercizio di un diritto in via giudiziale, la prevenzione di frodi, il controllo del personale a fini di sicurezza o gestione. Un interesse può essere considerato “legittimo” se perseguibile dal titolare del trattamento secondo modalità conformi alla normativa applicabile, non solo in materia di protezione dei dati personali. In particolare, per essere legittimo un interesse deve essere:
- lecito;
- articolato in maniera sufficientemente chiara così da permettere di essere valutato ai fini
del test comparativo rispetto ai diritti fondamentali dell’interessato (di cui a breve si dirà);
- rappresentativo di un interesse concreto ed effettivo e non meramente teorico (cfr.
sul punto i considerando 47 e 49 del GDPR).
In ogni caso, per legittimare un determinato trattamento in difetto di altre cause di giustificazione l’interesse del titolare, anche laddove conforme ai requisiti che precedono, deve innanzitutto essere perseguibile necessariamente attraverso tale trattamento e senza il ricorso a mezzi meno invasivi; in altri termini deve essere comparato con gli interessi o diritti fondamentali dell’interessato, che non devono prevalere. Solo all’esito di tale giudizio comparativo sarà possibile stabilire se il titolare è autorizzato o meno a procedere con il trattamento dei dati personali. In estrema sintesi, le operazioni che un titolare del trattamento dovrà porre in essere per poter ricorrere alla causa di giustificazione prevista dal GDPR possono essere riassunte nelle seguenti fasi:
FASE 1: classificazione dell’interesse come “legittimo” o “illegittimo”;
FASE 2: valutazione se il trattamento è necessario per il perseguimento dell’interesse;
FASE 3: definizione di un bilanciamento provvisorio tra interesse legittimo del Titolare e diritti fondamentali dagli interessati;
FASE 4: definizione di un bilanciamento definitivo sulla base delle garanzie supplementari;
FASE 5: dimostrazione della conformità e garanzia della trasparenza” [6].
Esempi
Fonte: Opinion 6/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, adottate dal Gruppo di Lavoro ex art. 29 il 28 novembre 2017.
- “Un negozio di computer invia ai suoi clienti messaggi pubblicitari, sia on line che per posta tradizionale, riguardanti prodotti simili a quelli da loro acquistati, utilizzando i recapiti ottenuti nel corso della procedura di vendita. I clienti sono chiaramente informati in merito alla loro possibilità di opporsi, in maniera facile e gratuita, al momento della raccolta dei loro recapiti e all’invio di ogni messaggio, qualora non abbiano manifestato inizialmente la loro opposizione. La trasparenza del trattamento, la ragionevole aspettativa del cliente nel vedersi recapitare offerte per prodotti analoghi a quelli acquistati e la possibilità di opporsi contribuiscono a rafforzare la legittimità del trattamento e a salvaguardare i diritti delle persone. Il tutto in assenza di una sproporzione rispetto al diritto alla tutela della vita privata della persona (Es. n. 4)”.
- “Una farmacia on line crea profili completi dei suoi clienti utilizzando sia i dati di acquisto dei prodotti (anche quelli per cui è richiesta prescrizione medica) sia i dati demografici (quali età e genere), sia i dati relativi alla visualizzazione di altri prodotti durante la navigazione sul web. Sulla base di queste informazioni ed attraverso l’applicazione di algoritmi predittivi, la farmacia è in grado di determinare di quale patologia soffra un cliente ed il suo possibile interesse per l’acquisto di integratori alimentari, creme solari o altri prodotti per la cura della pelle in certi periodi dell’anno, inoltrando comunicazioni commerciali specifiche e personalizzate. Dal momento che la sensibilità dei dati trattati e l’invasività legata alla creazione di profili non paiono sorreggere adeguatamente il ricorso all’interesse legittimo del titolare quale causa di giustificazione, la normativa applicabile suggerisce di trovare un diverso fondamento che autorizzi il predetto trattamento (quale ad esempio il consenso dell’interessato) (Es. 5)”.
- “Una società di Internet operante sul web fornisce vari servizi (motori di ricerca, condivisione di video, siti di socializzazione) combinando tutte le informazioni personali raccolte per ciascuno dei suoi utenti in relazione ai differenti servizi da essi utilizzati, senza definire alcun periodo di conservazione dei dati e sostenendo di agire in tal senso al fine di “garantire la migliore qualità possibile del servizio”. Questa società mette alcuni strumenti a disposizione di differenti categorie di utenti affinché possano esercitare i loro diritti, pur impedendo di controllare effettivamente il trattamento dei loro dati o le combinazioni specifiche degli stessi, ovvero ancora di potersi opporre a dette combinazioni. Nel complesso, si ravvede uno squilibrio tra l’interesse legittimo della società e la protezione dei diritti fondamentali degli utenti, con successiva impossibiità di ricorrere al fondamento giuridico in esame e dovendo piuttosto ricorrere al consenso dell’interessato nel rispetto delle relative condizioni (Es. 26)”.
Per una disamina completa del principio di liceità del trattamento dei dati personali e degli altri principi generali che sorreggono la disciplina in discorso, continua a leggere pp. 44 ss. di “Privacy e GDPR: manuale applicativo con esempi e casistiche settoriali” di Monica Mandico.
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
Note
[1] https://www. garanteprivacy.it/home/doveri.
[2] V. ora, ampiamente, e. Pelino, L. Bolonnini, C. Bistoli, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, pp. 92 ss.
[3] Liceità del trattamento 26 luglio 2017, https://protezionedatipersonali.it/liceita-del-trattamen- to: “In merito all’ultimo requisito la giurisprudenza della Corte europea dei diritti dell’uomo prevede altresì che le limitazioni (es. misura di sorveglianza) debbano essere strettamente necessarie per l’ottenimento di informazioni vitali in quella specifica operazione (sentenza Szabo e Vissy c. Ungheria). L’articolo 5 della Convenzione 108 e l’articolo 6 del regolamento, elencano le condizioni di liceità del trattamento in quanto limitazione all’esercizio del diritto alla protezione dei dati personali. L’articolo 6 elenca le basi giuridiche del trattamento. In particolare il paragrafo 2 enumera i casi nei quali gli Stati membri possono prevedere condizioni ulteriori rispetto alla normativa europea, così introducendo un elemento di flessibilità a favore delle norme nazionali”.
[4] V. sul punto, E. Lucchini Guastalla, Il nuovo Regolamento europeo sul trattamento dei dati personali: i principi ispiratori; da ultimo, anche Bravo, in aa.vv., Il nuovo Regolamento, cit., p. 101 ss.
[5] https://www.garanteprivacy.it/home/doveri. Il Garante: il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679. L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità. Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti. Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).
[6] O. Cesana, Guida operativa all’acquisizione dei dati: i presupposti di liceità del trattamento, articolo pubblicato il 19 dicembre 2018.
Scrivi un commento
Accedi per poter inserire un commento