Il GDPR stabilisce che il trattamento dei dati deve basarsi su un’idonea base giuridica, essenziale per assicurare la liceità del trattamento stesso. Esistono sei tipologie di base giuridica e il titolare del trattamento è chiamato a individuare quella migliore per il singolo caso, nel rispetto della normativa vigente.
In questo articolo spiegheremo cosa si intende per base giuridica del trattamento e quali sono le tipologie di base giuridica previste dal regolamento generale sulla protezione dei dati (GDPR).
Cosa si intende per base giuridica del trattamento dei dati?
Per base giuridica si intende ciò su cui si fonda il trattamento dei dati, che deve rispettare i principi di liceità, correttezza e trasparenza nei confronti dell’interessato. La base giuridica è, quindi, l’elemento che rende legittimo il trattamento dei dati.
La base giuridica deve essere scelta dal titolare del trattamento, il quale deve rispettare le condizioni previste dall’articolo 6 del GDPR, ossia del regolamento europeo che mira a proteggere i diritti e le libertà dei cittadini in merito al trattamento dei loro dati personali da parte delle aziende e delle organizzazioni.
La base giuridica del trattamento deve essere inserita nell’informativa privacy, il documento obbligatorio che spiega le modalità e le finalità del trattamento dei dati agli utenti che utilizzano il tuo sito web o la tua app.
Quali sono le basi giuridiche del trattamento?
Le tipologie di base giuridica del trattamento sono indicate nell’articolo 6 del GDPR. Queste tipologie di base giuridica permettono alle aziende di raccogliere, trattare e conservare i dati lecitamente e in conformità alla normativa vigente.
Ecco una breve guida che ti aiuterà a comprendere le basi giuridiche:
1 Consenso
Il consenso è una delle basi giuridiche più utilizzate dalle aziende. Quando il trattamento si basa sul consenso, è necessario che l’utente:
- abbia previamente ricevuto tutte le informazioni sul trattamento dei dati personali (come per esempio: la finalità del trattamento, la base giuridica utilizzata, il periodo di conservazione dei dati) mediante apposita informativa;
- abbia prestato il suo consenso in maniera esplicita e libera. Come abbiamo visto, non è ammesso il consenso tacito o presunto (per esempio offrendo al cliente delle caselle pre flaggate);
- sia informato del fatto che il può revocare il suo consenso in qualsiasi momento.
Inoltre, quando la base giuridica del trattamento è il consenso, il titolare deve essere in grado di poter dimostrare che l’interessato ha prestato il proprio consenso.
2 Adempimento obblighi precontrattuali o contrattuali
Insieme al consenso, questa base giuridica è l’unica che può basarsi su una manifestazione di volontà dell’interessato (qui espressa in forma di conclusione dell’accordo negoziale o di avvio delle trattative).
Se il trattamento dei dati è necessario per l’esecuzione di un contratto con l’interessato o per adottare misure precontrattuali su richiesta dell’interessato, ciò costituisce una base giuridica legittima.
3 Salvaguardia degli interessi vitali della persona interessata o di terzi
Questa tipologia di trattamento è ammessa solo se è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica che sia impossibilitata fisicamente a prestare il proprio consenso (per esempio in caso di emergenza sanitaria).
È bene precisare che, secondo quanto affermato dalla normativa vigente (Considerando 46 del GDPR), il titolare può scegliere tale base giuridica per il trattamento dei dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione.
4 Obblighi di legge cui è soggetto il titolare
Gli obblighi legali che possono essere utilizzati come base giuridica del trattamento devono soddisfare le seguenti condizioni:
- gli obblighi devono essere previsti dalla legislazione europea o nazionale dello stato membro a cui è soggetto il titolare del trattamento;
- le disposizioni legali devono prevedere un obbligo imperativo per il cui adempimento è necessario procedere al trattamento dei dati personali. Tale obbligo imperativo deve essere sufficientemente chiaro e preciso.
- gli obblighi imperativi devono indicare la finalità del trattamento dei dati in questione, la quale deve essere necessariamente determinata dal legislatore;
- infine, tale obbligo deve essere imposto al titolare del trattamento. Detto altrimenti, il titolare del trattamento deve essere colui che è tenuto ad adempiere agli obblighi imposti dalla legge.
5 Interesse pubblico o esercizio di pubblici poteri
Questa base giuridica si utilizza prevalentemente per le attività di trattamento dei dati che sono necessarie per l’esecuzione di un compito di interesse pubblico. Infatti, spesso questa base giuridica per il trattamento dei dati viene utilizzata dalle autorità pubbliche, nell’esercizio di pubblici poteri.
Vista la potenziale incidenza di questa tipologia di trattamenti sui diritti degli interessati, il GDPR riconosce sempre un diritto di opposizione in capo all’interessato.
6 Interesse legittimo prevalente del titolare o di un terzo
Infine, il trattamento dei dati può essere considerato lecito se è necessario per il perseguimento degli interessi legittimi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Per questo, è necessario che il titolare effettui un bilanciamento fra il suo legittimo interesse (o quello di terzi) e i diritti e le libertà dell’interessato, affinché sia garantito un equilibrio adeguato tra i diritti dell’individuo e le finalità del trattamento. Qualora, a seguito di questo bilanciamento, i diritti e le libertà degli interessati fossero considerati prevalenti, il titolare non potrebbe effettuare alcun trattamento dei dati personali invocando questa specifica base giuridica.
Per effettuare questo “test di bilanciamento” il titolare del trattamento può ricorrere alla verifica del legittimo interesse (o LIA), ossia uno strumento che permette al titolare di comprendere e valutare gli interessi di entrambe le parti e, in seguito, documentare il processo di valutazione svolto sul valido ricorso al proprio legittimo interesse.
Per concludere
La comprensione delle diverse tipologie di base giuridica per il trattamento dei dati è essenziale per garantire la conformità al GDPR e per proteggere i diritti degli individui in materia di privacy.
La scelta della base giuridica appropriata dipende dal contesto e dalle finalità del trattamento dei dati. Per adottare la base giuridica adeguata si consiglia di rivolgersi a professionisti del settore, che sappiamo analizzare la tua situazione aziendale. Se desideri ricevere più informazioni puoi consultare il nostro sito web, oppure prenotare una consulenza con il nostro studio legale.