Guida all’applicazione del NUOVO Regolamento europeo Privacy – Fondamenti LICEITA’

0

Guida all’applicazione del NUOVO Regolamento europeo Privacy – Fondamenti LICEITA’

nuovo-regolamento-privacy

FONDAMENTI DI LICEITA’ DEL TRATTAMENTO

CONSENSO in “cosa cambia”

– Per i dati “sensibili” (si veda art. 9 regolamento) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22).
NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
– Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

CONSENSO in “cosa non cambia”

DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del regolamento).

RACCOMANDAZIONI

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).

INTERESSE VITALE DI UN TERZO in “cosa cambia”

Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione

INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE O DI UN TERZO in “cosa cambia”

Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato NON SPETTA all’Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di «responsabilizzazione» introdotto dal nuovo pacchetto protezione dati.

INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE O DI UN TERZO in “cosa non cambia”

L’interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

Il regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

 

RACCOMANDAZIONI

Il Regolamento offre alcuni criteri per il bilanciamento in questione (si veda considerando 47) e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo “Articolo 29″ sul punto (WP217).

Si confermano, inoltre, nella sostanza, i requisiti indicati dall’Autorità nei propri provvedimenti in materia di bilanciamento di interessi [si veda, per esempio, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992 con riguardo ad alcune tipologie di trattamento di dati biometrici; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 con riguardo all’utilizzo della videosorveglianza; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6068256 in merito all’utilizzo di sistemi di rilevazione informatica anti-frode; ecc.] con particolare riferimento agli esiti delle verifiche preliminari condotte dall’Autorità, con eccezione ovviamente delle disposizioni che il Regolamento ha espressamente abrogato (per es.: obbligo di notifica dei trattamenti).I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.