Articoli e Considerando correlati
Home » GDPR » Principi » Legalità, equità e trasparenza » Articoli e Considerando correlati

Legalità

La definizione di legalità è data nell’art. 6(1) GDPR. Essa recita come segue:

Il trattamento è lecito solo se e nella misura in cui si applica almeno una delle seguenti condizioni:

  1. l’interessato ha dato il consenso al trattamento dei suoi dati personali per una o più finalità specifiche;
  2. il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per prendere provvedimenti su richiesta dell’interessato prima della conclusione di un contratto;
  3. il trattamento è necessario per il rispetto di un obbligo legale al quale è soggetto il titolare del trattamento;
  4. il trattamento è necessario per proteggere gli interessi vitali della persona interessata o di un’altra persona fisica;
  5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio dei poteri pubblici conferiti al titolare del trattamento;
  6. il trattamento è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo, tranne quando su tali interessi prevalgono gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la protezione dei dati personali, in particolare se la persona interessata è un bambino.

La lettera f) del primo comma non si applica ai trattamenti effettuati dalle autorità pubbliche nell’esercizio delle loro funzioni.

Mentre le finalità del trattamento devono essere specificate ed esplicite (vedi Art. 5(1)(b), e quindi anche sufficientemente ristrette e specifiche, le suddette sono chiaramente categorie di finalità. (Dove la parola finalità è stata usata esplicitamente, è quindi scritta in corsivo). Essi sono comunemente chiamati basi[1] giuridiche e sono riferimenti dalla loro posizione nell’articolo 6; per esempio, il consenso sarebbe quindi la base giuridica dell’art. 6(1)(a).

Il GDPR prevede due articoli che indicano ulteriori requisiti di liceità per due casi diversi: dati sensibili e dati relativi a condanne penali. In particolare questi sono i seguenti:

L’art. 9 GDPR afferma che il trattamento di dati particolarmente sensibili è in linea di principio vietato ed elenca 10 eccezioni a questa regola. Le eccezioni sono paragonabili nella struttura alle basi giuridiche dell’Art. 6. L’articolo specifica che i dati sono particolarmente sensibili, se rivelano:

  • origine razziale o etnica,
  • opinioni politiche,
  • credenze religiose o filosofiche,
  • l’iscrizione al sindacato,

o sono:

  • dati genetici,
  • dati biometrici allo scopo di identificare in modo univoco una persona fisica,
  • dati relativi alla salute, o
  • dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica.

Per questi dati, si applicano requisiti più rigorosi affinché il loro trattamento sia considerato legittimo. Per esempio, invece del semplice consenso dell’art. 6(1)(a), il trattamento di tali dati sensibili richiede un livello di consenso più esigente chiamato consenso esplicito (vedi Art. 9(2)(a) GDPR).

Come l’art. 9 per i dati particolarmente sensibili, l’art. 10 GDPR limita ulteriormente il trattamento dei “dati relativi a condanne penali e reati o misure di sicurezza correlate”. In particolare, per essere legittimo, il trattamento deve essere “effettuato solo sotto il controllo dell’autorità ufficiale o quando [è] autorizzato dal diritto dell’Unione o degli Stati membri che prevede garanzie adeguate per i diritti e le libertà degli interessati”.

Ci sono diversi articoli e considerando nel GDPR che specificano il concetto di consenso (dell’art. 6(1)(a) GDPR) in modo più dettagliato. I più importanti sono i seguenti:

  • Art. 4(11) che definisce il consenso;
  • Art. 7 che elenca le condizioni per il consenso; e
  • L’art. 8 che regola le condizioni applicabili al consenso del bambino in relazione ai servizi della società dell’informazione.

Considerando che il consenso è un concetto complesso, il Comitato europeo per la protezione dei dati ha emesso Linee guidaautorevoli 05/2020 sul consenso ai sensi del regolamento 2016/679[2].

Oltre al consenso, anche il concetto di interesse legittimo perseguito dal titolare del trattamento(dell’art. 6(1)(f) GDPR) è difficile da comprendere appieno. Ciò che è cruciale qui è la restrizione di “tranne quando tali interessi sono prevalenti rispetto agli interessi o ai diritti e alle libertà fondamentali della persona interessata”. Ciò significa che l’interesse legittimo del titolare del trattamento deve essere bilanciato con gli interessi degli interessati. Per determinare se questo è il caso, il titolare del trattamento deve realizzare un cosiddetto balancing test. Come farlo è descritto in “Strumenti e azioni principali” nella Parte II di queste Linee guida. Si basa principalmente sull’autorevole parere 06/2014 del Gruppo dell’articolo 29 sulla nozione di legittimo interesse del titolare del trattamento dei dati ai sensi dell’articolo 7 della direttiva 95/46/CE[3]. Anche se questo parere si basa sulla direttiva sulla protezione dei dati che è precedente al GDPR, è in generale applicabile all’interpretazione dell’art. 6(1)(f) GDPR. È raccomandato per ulteriori letture sull’argomento.

Equità

Probabilmente, l’intero GDPR riguarda l’equità. Qui di seguito si segnalano alcuni articoli del GDPR che illustrano particolarmente bene questo aspetto.

Un’area in cui l’equità è evidente riguarda i requisiti di trasparenza. Qui, l’art. 12(1) afferma che i titolari del trattamento devono fornire informazioni “all’interessato in una forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice, in particolare per qualsiasi informazione rivolta specificamente a un minore”. Evidentemente, questo proibisce la pratica sleale di fornire le informazioni richieste in una forma che è inaccessibile agli interessati.

Allo stesso modo, il consenso non può essere implicito, ma richiede piuttosto un’esplicita “dichiarazione o una chiara azione affermativa” (vedi Art. 4(11) GDPR). Lo stesso articolo afferma inoltre che il consenso deve essere dato liberamente, specifico, informato e non ambiguo“. Inoltre, in qualsiasi momento, senza bisogno di giustificazione, una persona interessata deve essere in grado di ritirare il consenso con la stessa facilità con cui è stato dato. Questi requisiti rigorosi per il consenso proibiscono direttamente molte pratiche manipolative, compreso il “nudging”[4] degli interessati.

Diversi diritti degli interessati possono essere direttamente associati all’equità. Questi includono:

  • Il diritto alla rettifica (art. 16 GDPR) per evitare che gli interessati subiscano conseguenze negative a causa di dati inesatti;
  • Il diritto alla limitazione del trattamento (art. 18 GDPR) che impedisce ai titolari del trattamento di utilizzare ulteriormente i dati che sono stati segnalati come inesatti o che riguardano il trattamento a cui l’interessato si è opposto;
  • Il diritto alla portabilità dei dati (art. 20 GDPR) che impedisce situazioni di lock-in e una possibile perdita (ad esempio di investimenti[5]) quando gli utenti cambiano il loro rapporto con il titolare del trattamento;
  • Il diritto di opposizione (art. 21 GDPR) dove nel caso di una base giuridica dell’art. 6(1)(f) GDPR, gli interessati possono presentare le loro situazioni specifiche in cui il loro interesse prevale sugli interessi legittimi del titolare del trattamento;
  • Il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato (art. 22 GDPR), che prevede anche il diritto di ottenere l’intervento umano da parte del titolare del trattamento (vedi paragrafo 3).

Un’altra indicazione di equità è quando il titolare del trattamento deve prendere in considerazione il punto di vista degli interessati. Questo è per esempio evidente nel considerando 50 del GDPR che richiede di considerare le ragionevoli aspettative degli interessati quando si determina se uno scopo è compatibile secondo l’art. 6(4). Appare anche nelle valutazioni d’impatto sulla protezione dei dati (art. 35 GDPR), dove i titolari del trattamento, eventualmente, devono chiedere il parere degli interessati o dei loro rappresentanti (art. 35(9) GDPR).

Trasparenza

Diversi articoli del GDPR forniscono ulteriori dettagli sul principio di trasparenza. Essi includono quanto segue:

  • Gli articoli da 12 a 14 descrivono in dettaglio le informazioni che i titolari del trattamento devono fornire in anticipo agli interessati.
  • L’art. 15 descrive le informazioni che devono essere fornite su richiesta degli interessati, compreso l’accesso completo ai loro dati.
  • L’art. 34 descrive come gli interessati devono essere informati delle violazioni dei dati, quando è probabile che ciò comporti un rischio elevato.
  • L’art. 38(4) designa il Responsabile della protezione dei dati (DPO) presso il titolare del trattamento come punto di accesso per gli interessati.
  • Gli artt. 12 e 19 descrivono le informazioni che i titolari del trattamento devono fornire agli interessati che esercitano uno dei loro diritti.
  • L’art. 30 registri di trattamento e 35 valutazione d’impatto sulla protezione dei dati descrivono le informazioni che devono essere fornite alle autorità di controllo. (Quest’ultimo solo se il trattamento può comportare un rischio elevato).
  • L’art. 58(1) specifica come i titolari del trattamento debbano essere trasparenti nei confronti delle autorità di controllo rispondendo (punto a), permettendo ispezioni e audit (punto b), e concedendo l’accesso ai loro locali (punto f).
  • L’art. 33 descrive le notifiche di violazione verso le autorità di vigilanza.

Considerando l’importanza della trasparenza nel GDPR, il Comitato europeo per la protezione dei dati ha fornito un’interpretazione autorevole dei relativi obblighi nelle loro Linee guida sulla trasparenza ai sensi del regolamento 2016/679 (wp260rev.01)[6]. Questo è raccomandato per ulteriori letture.

 

 

  1. Il termine base giuridica è usato estesamente nel GDPR ed è raccomandato qui come termine preferenziale. In alternativa, il GDPR contiene anche il termine legal ground. In letteratura si usa anche il termine base legale.
  2. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, Adopted on4 May2020, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en (ultima visita 22/05/2020).
  3. Gruppo di lavoro articolo 29 per la protezione dei dati, 844/14/IT, WP217, parere 06/2014 sulla nozione di interessi legittimi del titolare del trattamento dei dati ai sensi dell’articolo 7 della direttiva 95/46/CE, adottato il 9 aprile 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (ultima visita 22/05/2020).
  4. Vedi per esempio, Weinmann, M., Schneider, C. & Brocke, J.v. Digital Nudging. Bus Inf Syst Eng 58, 433-436 (2016). https://doi.org/10.1007/s12599-016-0453-1 (ultima visita 22/05/2020).
  5. Un primo esempio per una possibile perdita di investimento è la collezione di foto personali.
  6. EDPB, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 (ultima visita 22/05/2020).

 

Skip to content