Pillole: le informazioni essenziali su un argomento di diritto, per punti.
Oggi vi parliamo delle basi di trattamento dei dati personali.
Il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679, indicato anche come GDPR) stabilisce i presupposti che consentono il trattamento dei dati da parte dei titolari del trattamento – vale a dire i soggetti che, nell’ambito della propria attività professionale, imprenditoriale o istituzionale, stabiliscono le finalità e i mezzi di trattamento dei dati personali e che raccolgono e trattano dati personali.
Tra questi presupposti, qui ci occupiamo delle basi giuridiche che rendono lecito il trattamento dei dati.
Il consenso dell’interessato (la persona di cui si trattano i dati)
La persona deve essere informata chiaramente e completamente rispetto al trattamento dei propri dati e ai diritti che ne conseguono; deve essere libera di prestare o meno il proprio consenso e dev’essere chiamata a prestarlo per specifiche finalità d trattamento.
Il consenso deve essere prestato tramite una manifestazione di volontà autonoma e distinta e tramite un’azione positiva: il consenso non può essere desunto dal silenzio o presunto in base ad altre attività dell’interessato. Spetta al titolare del trattamento dimostrare di avere ottenuto il consenso secondo i criteri stabiliti.
L’esistenza di un’obbligazione contrattuale tra l’interessato e il titolare del trattamento
Il trattamento è necessario per eseguire un contratto tra le parti o per dar corso ad attività precontrattuali che l’interessato stesso richieda. Ad esempio, l’invio di un curriculum vitae per candidarsi ad una posizione lavorativa presuppone che l’azienda che lo riceve lo esamini per valutare il profilo del candidato: l’acquisizione e il trattamento dei dati del curriculum trovano la propria liceità nell’essere attività preliminari, richieste e auspicate dal candidato, volte alla stipula di un contratto di lavoro.
La necessità di proteggere l’interesse vitale dell’interessato o di altra persona fisica.
Nel caso ci si trovi in una situazione in cui la vita della persona è a rischio, prevale l’interesse alla salvaguardia della vita su quello alla riservatezza ed è quindi lecito trattare i dati personali necessari a tutelare l’interesse vitale. Nel Regolamento stesso (Considerando 46) si citano gli esempi di trattamenti a fini umanitari o per tenere sotto controllo l’evoluzione e la diffusione di epidemie.
L’esigenza di adempiere ad un obbligo di legge a cui è tenuto il titolare del trattamento.
Un esempio è il trattamento dei dati necessario per adempiere a obblighi di natura fiscale.
Il compimento di attività o incarichi nel pubblico interesse o l’esercizio di pubblici poteri
Il Considerando 46 del Regolamento cita come casi in cui si incrociano rilevanti motivi di interesse pubblico e interessi vitali dell’interessato le già citate esigenze di controllo dell’evoluzione e diffusione di epidemie, i casi di emergenze umanitarie, in particolare catastrofi di origine naturale o umana.
Il legittimo interesse del titolare del trattamento o di una terza parte, dopo che sia stato valutato il bilanciamento tra tale interesse e i diritti ed interessi della persona di cui si trattano i dati e si sia stabilito che il legittimo interesse non li pregiudica.
Il Regolamento al Considerando 47 prende in esame i casi di interesse legittimo basati sulla relazione cliente/ professionista, sulla necessità di prevenzione delle frodi e sulla finalità di marketing diretto.
Ci sono previsioni diverse per quanto riguarda:
i dati relativi alla salute
I dati relativi alla vita sessuale o all’orientamento sessuale della persona,
i dati genetici,
i dati biometrici intesi a identificare in modo univoco una persona fisica,
i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale.
Il loro trattamento è vietato, a meno che:
- L’interessato abbia prestato il proprio consenso, secondo i criteri e le caratteristiche descritte all’inizio di questo intervento;
- Il trattamento sia necessario per le esigenze contemplate dal diritto del lavoro e della sicurezza sociale e protezione sociale;
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro, della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
- il trattamento sia necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- il trattamento sia effettuato da enti senza scopo di lucro che perseguono fini finalità politiche, filosofiche, religiose o sindacali, riguardo al trattamento dei dati dei propri membri o dei regolari contatti, purché non siano comunicati all’esterno;
- il trattamento riguardi dati resi manifestamente pubblici dall’interessato;
- il trattamento sia necessario per la difesa in sede giudiziaria e da parte delle autorità giurisdizionali nell’esercizio delle loro funzioni;
- il trattamento sia necessario per motivi di interesse pubblico, quando tale interesse è proporzionato alla finalità perseguita dal soggetto pubblico e rispetta l’essenza del diritto alla protezione dei dati;
- il trattamento sia necessario per fini di medicina del lavoro o di gestione di sistemi e servizi sanitari e sociali; in questo caso i dati sono trattati da o sotto la responsabilità di un professionista tenuto al segreto professionale o da altro soggetto tenuto all’obbligo di segretezza;
- il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce per la salute di che coinvolgono anche altri Paesi o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria (tra cui la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute – Considerando 52 – e ove necessario per conseguire finalità connesse alla salute a beneficio delle persone e dell’intera società – Considerando 53), dei medicinali e dei dispositivi medici; ciò con le adeguate garanzie per la tutela dei diritti dell’interessato, tra le quali rileva particolarmente il segreto professionale;
- il trattamento sia necessario ai fini di ricerca scientifica o storica, a fini statistici o di archiviazione, sulla base di previsioni del diritto UE o nazionale, sempreché questo trattamento sia sottoposto a garanzie adeguate per i diritti e le libertà dell’interessato. In particolare che sia perseguita la minimizzazione dei dati con l’adozione di idonee misure tecniche e organizzative. Ove possibile queste misure includono la pseudominimizzazione; nel caso in cui le finalità siano conseguibili anche attraverso trattamenti che consentano di non identificare l’interessato, saranno questi trattamenti a dover essere utilizzati.
Il trattamento dei dati personali relativi alle condanne penali e ai reati deve avvenire solo sotto il controllo dell’autorità pubblica oppure nel caso sia autorizzato da una normativa che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Foto di Mostafa Meraji.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato.
Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.
