Documentazione

Come scegliere l’esatta base giuridica del trattamento

Il GDPR non si limita a consentire il trattamento dei dati personali solo se una delle basi giuridiche riconosciute risulta applicabile, ma richiede anche che i titolari del trattamento rivelino su quali basi giuridiche basano le loro attività. Queste informazioni devono essere fornite agli interessati nell’ambito dell’informativa sulla privacy ai sensi dell’art. 13.

L’articolo 6 del GDPR prevede 6 diverse condizioni che possono rendere lecito il trattamento dei dati personali:

  • Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

  • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

  • L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità.

  • Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

  • Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

  • Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Quale scegliere?

Generalmente, nell’ambiente online, ti occuperai principalmente delle opzioni a, b, c (contratto, legittimo interesse e consenso). Prima di concentrarci su queste 3, lasciaci spiegare brevemente le altre meno comuni.

Basi giuridiche meno comuni

d. Interessi vitali

Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

Si applica in genere a interventi salvavita, come medici o personale paramedico che potrebbero dover recuperare il gruppo sanguigno dell’interessato ai fini di una trasfusione.

e. Interesse pubblico

Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Un medico, al cui paziente è stata diagnosticata una malattia estremamente contagiosa e potenzialmente epidemica, può essere tenuto a comunicarlo all’ente o all’istituzione sanitaria locale per scopi di prevenzione.

f. Obbligo legale

Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Questo si applica ogni volta che il titolare del trattamento è tenuto per legge a trattare i dati personali dell’interessato, ad esempio i datori di lavoro, che hanno l’obbligo giuridico di raccogliere alcuni dati personali dai loro dipendenti e eventualmente trasferirli a enti o agenzie (come gli enti previdenziali).

Un caso d’uso molto comune è costituito dalle leggi – generalmente di natura fiscale o commerciale, diverse di nazione in nazione – che impongono alle società e ai liberi professionisti di conservare le fatture emesse per un certo numero di anni. Tali fatture ovviamente riportano i dati dei destinatari.

Basi giuridiche più comuni

a. Contratto

Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

I contratti sono la base giuridica più comune e fondamentale per il trattamento dei dati personali. Ogni volta che si conclude un contratto con un utente – sia esso per l’acquisto di un prodotto, accedere alle informazioni, ordinare un servizio, prenotare un volo ecc. – è necessario raccogliere alcuni suoi dati personali, o non sarebbe nemmeno possibile eseguirlo. Questo vale anche per le trattative precontrattuali.

Esempio

Vendi abiti su misura via internet. A tal fine, raccogli i seguenti dati personali dai tuoi clienti: nome, cognome, indirizzo per la fatturazione e la consegna, indirizzo e-mail per le comunicazioni, misure del corpo per l’abito, dettagli per il pagamento. Tutti questi dati sono strettamente necessari per l’esecuzione del contratto, non puoi farne a meno. I clienti lo sanno, ed è per questo che non è necessario raccogliere il loro consenso al trattamento di tali dati: il contratto che hanno concluso con te costituisce una base giuridica sufficiente.

Ma cosa succederebbe se il cliente inviasse i suoi dati senza chiudere il contratto, perché prima è necessario verificare se il tessuto scelto è disponibile? La stessa cosa: le misure precontrattuali valgono come base giuridica.

Naturalmente, se il tessuto non è disponibile e il cliente decide di non chiudere il contratto di acquisto, è necessario cancellare immediatamente tutti i dati ricevuti.

Pro e contro dei contratti come base giuridica

Pro:

  • non è necessario raccogliere il consenso dell’interessato
  • flessibilità: tutte le attività di trattamento necessarie per l’esecuzione del contratto sono lecite

Contro:

  • strettamente dipendente dal contratto: il trattamento deve cessare se il contratto viene annullato

b. Legittimo interesse

Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Se non hai un rapporto contrattuale con l’interessato o se il vostro rapporto contrattuale non consente il trattamento specifico che intendi effettuare, potresti considerare questa opzione.

Un legittimo interesse è, ad esempio, quello di un proprietario di una banca che installa telecamere a circuito chiuso fuori dall’ingresso. Probabilmente i passanti vengono registrati, e i loro dati personali vengono raccolti senza il consenso o alcun tipo di rapporto (contrattuale) con la banca. Ma il proprietario ha un chiaro e legittimo interesse a filmare l’ingresso per motivi di sicurezza.

Nota: se l’interessato esercita il diritto di opporsi al trattamento dei propri dati personali sulla base di un interesse legittimo, occorre valutare caso per caso se a prevalere sono l’interesse legittimo del titolare del trattamento oppure i diritti e le libertà fondamentali dell’interessato.

Esempio

Quando vendi abiti su misura su internet, decidi che vorresti dare ai tuoi clienti un servizio migliore, permettendo loro di personalizzare l’interfaccia del negozio online. Per farlo, è necessario installare sui browser dei clienti dei cookie che memorizzano le loro preferenze.

Poiché questa attività di elaborazione non è coperta dalla base giuridica “contratto” (non è necessario installare cookie per eseguire il contratto e consegnare l’abito), è possibile basarsi sul proprio legittimo interesse a personalizzare il servizio e migliorare l’esperienza dell’utente. Tale interesse legittimo probabilmente prevarrebbe sui diritti e le libertà fondamentali dell’interessato, in questo caso non lese in via considerevole.

Pro e contro del legittimo interesse come base giuridica

Pro:

  • non è necessario raccogliere il consenso dell’interessato
  • la possibilità di opporsi dell’interessato non è illimitata
  • applicabile a qualsiasi tipo di trattamento

Contro:

  • incertezza: non esiste un elenco di “interessi legittimi approvati”
  • può comportare ulteriori obblighi di conformità
  • aumenta il rischio di possibili controversie

c. Consenso

L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità.

A volte il trattamento dei dati personali che si desidera eseguire non è funzionale a un contratto concluso con l’interessato, e il tuo interesse non può prevalere sui diritti e le libertà di quest’ultimo.

Se hai controllato tutte le basi giuridiche e nessuna di esse è applicabile, hai bisogno del consenso: puoi chiederlo per quasi tutti i tipi di trattamento di dati personali, compresi i dati sensibili e quelli appartenenti alle categorie speciali.

Secondo il motivo 32 del GDPR:

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

In relazione all’articolo 8, riguardante l’obbligo del titolare del trattamento di fornire la prova del consenso raccolto e il diritto dell’interessato di revocarlo in qualsiasi momento senza indicarne il motivo, si applicano le seguenti condizioni:

  1. positivo: non sono accettabili meccanismi di “opt-out”. L’interessato deve decidere attivamente di dare il proprio consenso.

  2. libero: l’interessato deve essere libero di dare il proprio consenso al trattamento. Non deve cioè essere costretto, obbligato o anche solo messo sotto pressione. Immagina che un dipendente debba acconsentire a un trattamento da parte del suo datore di lavoro: sarà difficile per il datore di lavoro dimostrare che non è stata esercitata alcuna pressione sul dipendente per ottenere il suo consenso.

  3. specifico: nessun consenso generale: le finalità per le quali si richiede il consenso devono essere stabilite una per una e, se non sono necessariamente collegate tra loro, il consenso deve essere raccolto separatamente per ciascuna di esse.

  4. informato: i titolari del trattamento devono spiegare con precisione cosa intendono fare e per quali scopi. Dichiarazioni come “per scopi di marketing” non sono sufficienti per informare gli interessati su ciò che verrà fatto con i loro dati personali.

  5. inequivocabile: se il consenso dell’interessato è dato nell’ambito di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile, in una forma comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Se, ad esempio, si raccoglie il consenso nell’ambito di un contratto che disciplina altri aspetti, è necessario evidenziare adeguatamente tale passaggio.

  6. prova del consenso: i responsabili del trattamento devono essere in grado di dimostrare di aver debitamente raccolto il consenso. Per questo motivo iubenda ha sviluppato la Consent Solution.

  7. diritto di recesso: gli interessati possono sempre decidere di revocare il proprio consenso con effetto immediato. Si tratta di un punto molto delicato da tenere in considerazione, in particolare quando si prevede di svolgere attività di trattamento per un periodo di tempo più lungo.

Ogni volta che il trattamento dei dati personali si basa sul consenso, è necessario considerare anche le implicazioni della raccolta del consenso dai minori.

Stando a quanto detto, avrai già intuito che il consenso è la base giuridica adatta quando le altre non sono applicabili. In realtà, ci sono una serie di motivi per cui il consenso potrebbe rivelarsi o essere considerato non valido, ad esempio se non è sufficientemente “informato”, se non è chiaro se l’interessato ha ricevuto pressioni di qualsiasi tipo per esprimere il consenso, ecc.

Esempio

Oltre alla vendita di abiti su misura, desideri inviare informazioni commerciali e promozionali sui tuoi prodotti e servizi e su quelli dei tuoi partner (ad esempio, un produttore di calzature). Ovviamente, l’invio di newsletter non rientra nell’ambito delle attività coperte dai contratti che chiudi con i tuoi clienti, che si limitano ad acquistare gli abiti.

Inoltre, anche se hai un chiaro interesse legittimo all’invio di tali newsletter, molto probabilmente prevarrebbero i diritti e le libertà fondamentali delle persone interessate, dato che le comunicazioni commerciali non richieste sono nella lista nera di varie disposizioni di legge dell’UE e degli Stati membri (GDPR e Direttiva ePrivacy 2002/58/EC).

Non ti resta che chiedere il consenso. Ecco come:

  1. Dai ai tuoi clienti la possibilità di iscriversi a una newsletter. Non inviare loro un’e-mail per richiedere l’iscrizione in quanto ciò rappresenterebbe già una comunicazione non richiesta, ma utilizza invece un form sul sito web o un link sui social media.

  2. Assicurati che i clienti che si iscrivono alla tua newsletter vengano debitamente e specificamente informati, e che il loro consenso sia dato liberamente (non sono accettabili trucchi come “puoi ordinare un abito solo se acconsenti anche tu a ricevere la nostra newsletter”).

  3. Assicurati che sia davvero il tuo cliente che si è iscritto alla newsletter, e che non ci sia nessun altro o un robot. Pertanto, implementa il double opt-in per garantire che il consenso sia positivo e inequivocabile.

  4. Ricorda ai tuoi clienti che sono liberi di revocare il consenso, sia al momento della raccolta che in ogni newsletter, e spiega loro come fare.

Vale la pena di notare che ci sono alcune condizioni per cui è possibile inviare newsletter su base opt-out, senza cioè previo consenso. Puoi scoprirle nella Guida sull’email marketing e l’invio di newsletter.

Pro e contro del consenso come base giuridica

Pro:

  • aperto a qualsiasi tipo di trattamento dei dati
  • si applica anche ai dati sensibili

Contro:

  • elevati obblighi di conformità e di documentazione
  • può sempre essere revocato
  • rischio che il consenso possa essere considerato non valido