Articolo 6 GDPR
Liceità del trattamento
- Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del
trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. - Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare
l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del
paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il
trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre
specifiche situazioni di trattamento di cui al capo IX. - La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere
stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il
trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel
pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del
trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare
l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla
liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del
trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità
per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e
procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto,
quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o
degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo
legittimo perseguito. - Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati
raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati
membri che costituisca una misura necessaria e proporzionata in una società democratica per la
salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento
per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente
raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore
trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione
tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati
personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai
sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
Spiegazione
Come abbiamo avuto modo di dire in occasione dell’analisi del precedente articolo 5, la liceità è uno dei principi sui quali si deve basa ogni attività di trattamento dei dati personali. Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. Le condizioni che determinano la liceità del trattamento sono:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
Per ogni trattamento basato sul consenso dell’interessato, il titolare deve essere in grado di dimostrare l’effettiva prestazione del consenso da parte dell’interessato. È opportuno, quindi, prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, scritta in un linguaggio semplice e chiaro, e priva di clausole abusive. Nel momento in cui l’interessato deve prestare il consenso, deve essere messo a conoscenza almendo dell’identità del titolare del trattamento e delle finalità di questo, al fine di prestare un consenso informato. Il consenso non si considera liberamente prestato se l’interessato non è in grado di operare una scelta automaticamente libera o non ha la possibilità di rifiutare o revocare il consenso senza subire un pregiudizio. Parimenti, il consenso non si considera liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali. Da non dimenticare il fatto che in alcune ipotesi (previste dall’art. 9) il Legislatore richiede che il consenso deve essere esplicito, riferendosi alla modalità in cui lo stesso è manifestato. - il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
Se il trattamento dei dati deriva, ed è necessario, da un contratto o da misure precontrattuali di cui l’interessato è parte, il trattamento si considera lecito. - il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. È sufficiente, infatti, che vi sia un singolo atto legislativo, potendo questo fungere da base giuridica per lo svolgimento di un trattamento dei dati personali. Il citato atto legislativo può altresì precisare: le condizioni generali del regolamento, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto di trattamento, gli interessati, i soggetti a cui possono essere comunicati i dati, le limitazioni delle finalità, il periodo di conservazione dei dati e tutte le altre misure necessarie per garantire un trattamento lecito e corretto. - il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
Risulta un’idonea base giuridica per il trattamento dei dati personali la circostanza secondo cui il trattamento è effettuato per proteggere un interesse sostanziale per la vita dell’interessato o di un’altra persona fisica. Bisogna però fare una precisazione. Un trattamento deve potersi fondare sull’interesse vitale di una persona fisica solo quando non è possibile che si fondi su altra base giuridica idonea. - il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo tarttamento. È sufficiente, infatti, che vi sia un singolo atto legislativo, potendo questo fungere da base giuridica per lo svolgimento di un trattamento dei dati personali. Il citato atto legislativo può altresì precisare: le condizioni generali del regolamento, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto di trattamento, gli interessati, i soggetti a cui possono essere comunicati i dati, le limitazioni delle finalità, il periodo di conservazione dei dati e tutte le altre misure necessarie per garantire un trattamento lecito e corretto. - il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
La liceità del trattamento può sussistere anche nel caso in cui, tramite il trattamento stesso, si persegue un interesse legittimo del titolare del trattamento o di terzi. Sussiste un legittimo interesse, ad esempio, quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento.
Bisogna però fare un bilanciamento con gli interessi o i diritti e le libertà fondamentali dell’interessato. Può capitare che, tenuto conto delle ragionevoli aspettative nutrite dall’interessato, prevalgano i diritti dell’interessato e che quindi l’interesse legittimo del titolare o del terzo non costituisca un’adeguata base giuridica.Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
Rimane fuori dal campo di applicazione della lettera presente, il trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Il comma due dell’articolo 6 GDPR dice esplicitamente ciò che invece può ricavarsi per via interpretativa dall’art. 1 del GDPR. Ove il Regolamento lo preveda, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale. Nel frattempo però tenere a mente che un’altra prerogativa del Legislatore europeo è quella di assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione.
Qualsiasi sia la fonte che fonda la base giuridica del trattamento, meritano sempre una specifica protezione i dati personali che sono, per loro natura, particolarmente sensibili. Parliamo di dati quali: dati che rivelano l’origine razziale o etnica, dati biometrici, dati sulle opinioni politiche, sulle convinzioni religiose o filosofiche o relativi all’appartenenza sindacale, dati relativi alla salute e alla vita sessuale o all’orientamento sessuale della persona.
Con il comma 4 si specifica ulteriormente che Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.
Rimani aggiornato, segui la nostra pagina Facebook!
Pagina creata da FreeAttitude.net