Leceità Trattamento Dati Personali

GRPR e trattamenti: come scegliere la basi di liceità per evitare le sanzioni

10 maggio 2021

di Marco CASSARO

Se il consenso è un punto fondamentale della normativa di tutela e protezione dei dati personali, vediamo quali sono le altre basi giuridiche idonee affinché il Titolare del Trattamento possa operare senza incorrere in sanzioni.

3. L’ESECUZIONE DI UN CONTRATTO DI CUI L’INTERESSATO È PARTE O L’ESECUZIONE DI MISURE CONTRATTUALI

Tale condizione di liceità, che all’apparenza pare di facile comprensione, riguarda esclusivamente il rapporto contrattuale o le misure precontrattuali di cui l’interessato risulta essere parte.

Generalmente l’esecuzione di un contratto o di misure precontrattuali richiede, per sua natura, un trattamento di dati riferibili al soggetto interessato che come richiamato ut supra non può essere condizionato al consenso il quale risulterebbe non liberamente prestato. Infatti, è insito in ciascuna tipologia contrattuale un trattamento di dati necessario per la soddisfazione del servizio/rapporto contrattualizzato.

Sul punto, al fine di risultare il più esaustivo possibile ma anche con la speranza di stimolare la curiosità dei lettori, vale la pena richiamare le “Linee guida 2/2019(1) sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati” che benché riferita ad uno specifico ambito di utilizzo forniscono chiare e precise indicazioni generale sulla liceità del trattamento a norma dell’art. 6 comma b) del GDPR(2).

All’interno delle stesse si evince come affinché il Data Controller voglia basare correttamente il trattamento sull’esecuzione di un contratto o di misure precontrattuale dovrà dimostrare:

  • l’esistenza di tale contratto/misure precontrattuali;
  • la validità di tale contratto/misure precontrattuali sulla base della normativa applicabile;
  • che il trattamento di quei dati forniti dall’interessato sia oggettivamente necessario per l’esecuzione del contratto/delle misure precontrattuali.

E ancora, al fine di verificare l’applicazione della base di liceità di cui sopra, ci si dovrebbe porre delle domande guida fondamentali quali:

  • Quale è la natura del servizio prestato all’interessato? Quali sono le sue caratteristiche fondamentali?
  • Quale è l’esatto fondamento logico del contratto?
  • Quali sono gli elementi fondamentali del contratto?
  • Quali sono le aspettative reciproche delle controparti contrattuali?
  • L’interessato ordinario potrebbe ragionevolmente aspettarsi, data la natura del contratto, che il trattamento dei dati sia posto in essere al fine di dare esecuzione al contratto di cui è parte?

Dunque, non utilizziamo tale base di liceità come farmaco per ogni male.

4. LA SALVAGUARDIA DEGLI INTERESSI VITALI DELL’INTERESSATO

Qualche spunto di riflessione merita l’art. 6 comma d) in relazione al trattamento perla salvaguardia degli interessi vitali dell’interessato.

In tale contesto ed anche richiamando il considerando 46 del GDPR(3) si ricorda che il trattamento dei dati personali dovrebbe essere considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica.

In particolare, il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica.

Alcuni tipi di trattamento di dati personali rientranti in tale fattispecie potrebbero essere per esempio, il trattamento necessario per:

  • fini umanitari;
  • tenere sotto controllo l’evoluzione di epidemie e la loro diffusione;
  • gestire casi di emergenze umanitarie;
  • gestire casi di catastrofi di origine naturale e umana.

5. L’ADEMPIMENTO DI UN OBBLIGO LEGALE E L’ESECUZIONE DI UN COMPITO DI INTERESSE PUBBLICO O CONNESSO O ALL’ESERCIZIO DI PUBBLICI POTERI

Non molto si può dire sull’art. 6 comma c) ed e) stante la portata alquanto generale della disposizione regolamentare e del fatto che la stessa vada:

  • applicata e valutata sui singoli obblighi legali di ciascun settore di operatività del Titolare del trattamento;
  • valutata in relazione alla normativa nazione e più nello specifico dell’art. 2-ter del Codice Privacy(4) così come modificato ed integrato dal D.Lgs 101/2018.

È tuttavia opportuno ricordare che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri basato sul diritto dell’Unione o di uno Stato membro, è lecito anche senza il consenso dell’interessato.

A tal proposito il Regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento ma un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento.

6. IL LEGITTIMO INTERESSE

Ultimo non certamente per importanza, tenuto anche conto della sua natura innovativa, è il trattamento che si fonda sul legittimo interesse; legittimo interesse che molto spesso viene visto in contrapposizione al consenso e viene utilizzato per giustificare attività promozionali e di marketing.

In tale contesto il Titolare del trattamento potrà basare il trattamento del dato non sulle condizioni di liceità fino a questo momento viste ma su questo particolare istituto a condizione che non prevalga sugli interessi, diritti e libertà fondamentali dell’interessato.

Il legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento, come si legge da ultimo nei provvedimenti di ingiunzione dell’11 marzo 2021 (cfr. Provvedimento n. 9577042, 9577065 e 9577371)(5) non può surrogare, in via generale, al consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali’. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.

Dunque, il legittimo interesse rappresenta quella relazione equilibrata, pertinente ed appropriata esistente tra l’interessato ed il Titolare del trattamento, dove spetta a quest’ultimo valutare se è ragionevole presupporre che l’interessato si aspetti quel tipo di trattamento.

Anche in questo caso ed al fine di coadiuvare il lettore, ricordo come ad oggi sussistono vari esempi/metodologie attraverso le quali il Titolare del Trattamento possa, in un’ottica di accountability, valutare tale bilanciamento di interessi svolgendo quella che ad oggi viene definita come Legitimate interest assessment come ad esempio il format messo ad disposizione dall’ICO(6).

Ora, per portare alcuni esempi pratici si fonda certamente sul legittimo interesse:

  • la trasmissione di dati personali all’interno del gruppo imprenditoriale per finalità amministrative, contabili interne compreso il trattamento di dati personali dei clienti o dei dipendenti;
  • così come anche il trattamento a fini di prevenzione delle frodi;
  • la videosorveglianza;
  • così come anche il marketing diretto (in questo caso con modalità prudenziali e concretamente dimostrabili).

Su quest’ultimo punto al fine di evitare inutili fraintendimenti è importante ricordare che il GDPR non autorizza il Titolare del trattamento ad affermare che qualsiasi campagna di marketing diretto possa basarsi sul legittimo interesse (a discapito ovviamente del consenso) ma, piuttosto, che vi sono casi in cui il rapporto preesistente e consolidato tra interessato e titolare possa giustifica l’invio di singole comunicazioni commerciali e non anche attività di trattamento ultronee ed invasiva. Infatti, richiamando le Linee guida n 251 del WP 29(7) in materia “sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità, ad esempio quelle che comportano il tracciamento di persone fisiche su più siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati”.

Alcuni spunti di riflessione interessanti si possono trovare, benché datate, nelle WP ex art. 29 n. 217 (cfr. “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”)(8).

Infine, il legittimo interesse può essere validamente utilizzato per giustificare l’introduzione di misure di sicurezza che il titolare deve implementare ex art. 32 del GDPR che determinano un trattamento dei dati personali non fondabile su diversa condizione di liceità. Come ad esempio, così come precisato dal Considerando 49, il trattamento di dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione (i.e. vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche ecc.). Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.

7. CONCLUSIONI

Concludendo possiamo dire che:

  • la scelta della base di liceità è fondamentale affinché il trattamento stesso sia valido fin dall’origine;
  • il Titolare del trattamento non ha ampia discrezionalità nella scelta, avvalendosi di basi utilitaristiche, ma dovrà valutare (nel rispetto del principio di accountability ex art. 24 del GDPR) quale è la base giuridica più idonei a giustificare il trattamento del dato;
  • non sempre l’utilizzo del consenso, così come anche l’esecuzione di un contratto valgono come panacea per la validità del trattamento;
  • il legittimo interesse costituisce un’ottima base di liceità di trattamento ma solo se utilizzata secondo i canoni, indicati da normativa.

In questo ambito più che mai, dimostrare di essere accountable, e dunque di aver valutato ed applicato la corretta base di liceità del trattamento, fa la differenza tra l’essere sanzionati e il non esserlo. Il Titolare del trattamento non potrà passare dal consenso ad altre basi legittime di liceità poiché avrà l’obbligo di comunicare la corretta base al momento della raccolta dei dati personali.

2/2

 

Intervento di Marco CASSARO,  Avvocato e Senior / Advisory Risk & Compliance  –  BDO Italia S.p.A.

LEGGI QUI l’articolo precedente 1/2,  Liceità del trattamento: come scegliere la base di liceità corretta e evitare le conseguenze negative

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Linee guida 2/2019 sul trattamento di dati personali  ai sensi dell’articolo 6, paragrafo 1, lettera b)  –  EDPB,  08-10-2019

(2)   Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – GDPR

(3)   Regolamento UE 2016 679. Arricchito con riferimenti ai Considerando Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018

(4)   Codice Privacy così come modificato ed integrato dal D.Lgs 101/2018

(5)   GPDP  –  Ordinanza ingiunzione nr. 9577042 nei confronti di Plurima s.r.l. – 11 marzo 2021

(5)   GPDP  –  Ordinanza ingiunzione nr. 9577065 nei confronti di Mediacom s.r.l. – 11 marzo 2021

(5)   GPDP  –  Ordinanza ingiunzione nr. 9577371 nei confronti di Planet Group S.p.A. – 11 marzo 2021

(6)   Legitimate interest assessment  –  ICO (Information Commissioner’s Officer)

(7)   Linee Guida nr. 251 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione del WP29 (Gruppo di Lavoro Articolo 29)

(8)   Opinion 06/2014 on the notion of legitimate interests of the data controller  –  WP29

 

Related Items

Azienda PrivacyDati Giudiziari di dipendenti e collaboratori: quali sono i limiti e le possibilità dopo il GDPR?
Continua a leggere
OneTrust Software GRCIn che modo la privacy delle informazioni migliora il rischio di governance e il software di conformità
Continua a leggere
PrivacyIl remarketing alla prova del Gdpr: come evitare le sanzioni
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *