Liceità Trattamento

Liceità del trattamento: come scegliere la base di liceità corretta e evitare le conseguenze negative

3 maggio 2021

di Marco CASSARO

Liceità del trattamento: come scegliere la base di liceità corretta e come evitare le conseguenze negative di una scelta erronea.

Scegliere la corretta base di liceità del trattamento non è mai stato così importante.

Le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”(1) nonché le “Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”(2) emanate dal European Data Protection Board (EDPB) così come le sanzioni dell’Autorità di Vigilanza Greca (HDPA) a PWC in merito all’erronea valutazione della corretta base di liceità del trattamento ma anche e soprattutto quelle comminate dall’Autorità Garante Nazionale a Società di call center, Società di Telefonia, Enti Locali etc., ci ricordano come i Titolari del Trattamento siano chiamati a qualificare correttamente la base di liceità del trattamento dei dati nonché a fornire le relative giustificazioni in relazione alla scelta fatta; pena la comminazione di una sanzione.

Di seguito una breve classificazione di quanto contenuto all’interno dell’art. 6 del Regolamento Ue 679/2016 (cd. GDPR)(3) e delle fonti normative da prendere in considerazione al fine di operare una scelta accountable e conforme alla normativa vigente.

1. UNA PRIMA VISIONE D’INSIEME

Partendo dall’analisi dell’art. 6 del GDPR e dell’assunto per cui il Regolamento conferma, nei suoi tratti generali, che ciascun trattamento effettuato dal Titolare del Trattamento dovrà basarsi e trovare il proprio fondamento all’interno di un’idonea base giuridica, si elencano nel seguito, per poi essere trattati sistematicamente, i fondamenti di liceità indicati all’interno della normativa di riferimento:

a) espressione del consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;

d) la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Si badi bene che queste basi di liceità sono quelle specificatamente contenute all’interno del Regolamento e che indicazioni più puntuali sulla corrispondenza base di liceità/specifico trattamento possono essere rinvenute all’interno delle diverse linee guida emanate:

  • dall’Autorità Garante Nazionale;
  • dall’EDPB;
  • così come anche nella normativa nazionale di riferimento (i.e. D.lgs 101/2018); e
  • nei Codici di Condotta vigenti.

Si veda ad esempio il “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” secondo il quale […] Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC secondo i termini e le condizioni stabilite nel Codice di condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità di cui al presente Codice di condotta. Pertanto, non è necessario acquisire il consenso dell’interessato[…] oppure il legittimo interesse ex art. 6 paragrafo 1 lettera f) o anche a seconda dei casi le necessità al fine di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri ex art. 6, paragrafo1, lettera e) come base giuridica in materia di trattamento nei sistemi di videosorveglianza così come indicato nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” o ancora in materia di direttiva PSD2 etc.

2. IL CONSENSO

Il consenso rappresenta sicuramente una delle pietre miliari di tutta la normativa in materia di tutela e protezione dei dati.

Oggi il consenso deve essere valutato come condizione di liceità sullo stesso livello di quelle previste ex art. 6 del GDPR con la particolare attenzione che per essere prestato validamente deve rispettare quelli che sono i requisiti previsti ex art. 7 del GDPR ampiamente analizzati nelle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”.

Sebbene, come sopra anticipato, il consenso rappresenta sicuramente la base giuridica più nota nonché quella più indiscriminatamente utilizzata anche quest’ultima non deve essere richiamata come fondamento di liceità del trattamento in modo improprio.

Infatti, richiamando quanto previsto dalla Linee guida in materia n. 259 emanate WP29 nonché le Linee guida 5/2020 “[…]Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio[…]” così come anche “[…]È importante osservare che, se sceglie di basarsi sul consenso per ogni parte del trattamento, il titolare del trattamento deve essere preparato a rispettare tale scelta e interrompere la parte del trattamento in caso di revoca del consenso[…]”.

Per intenderci se un cliente/interessato decide di aprire un conto corrente o di stipulare un contratto di telefonia mobile ed il Titolare nell’informativa fornita ex art. 13 del GDPR basa tale trattamento dei dati, ottenuti per l’erogazione del servizio e pertanto necessari per l’apertura delle relative pratiche, sul consenso e non sulla base di liceità prevista ex art. 6 comma b) del GDPR (i.e. l’esecuzione di un contratto di cui l’interessato è parte) è presumibile che tale trattamento risulti invalido; è evidente che il cliente non abbia avuto la possibilità di accettare o meno i termini proposti senza subire pregiudizio (i.e. il consenso non sarà prestato liberamente).

Caso diverso sarebbe quello di un’attività di promozione e/o marketing, ulteriore e accessoria rispetto alla prestazione principale, che inevitabilmente non potrebbe che essere legittima se non fondata sul consenso (salvo ovviamente l’ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice)).

In questo caso l’Interessato potrebbe prestare liberamente il consenso senza subire alcun pregiudizio (o almeno così si spera) rispetto all’esecuzione della prestazione principale per la quale si è rivolto al Titolare del trattamento.

Sul punto è doveroso ricordare la sanzione comminata dall’Autorità Garante Greca alla Società PWC per errata individuazione della base giuridica per il trattamento dei dati personali dei dipendenti (per maggiori approfondimenti si veda il parere n 2|2017 del WP29(4) sul trattamento dei dati sul posto di lavoro secondo il quale “[…]E’ importante riconoscere che i dipendenti si trovano raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro dipendente. Salvo in situazioni eccezionali, i datori di lavoro dovranno basarsi su un fondamento giuridico diverso dal consenso, ad esempio la necessità di trattare i dati per un loro legittimo interesse” […]) così come anche di portata più recente le ordinanze di ingiunzione pubblicate dall’Autorità Garante Nazionale con la NEWSLETTER N. 476 del 27 aprile 2021(5) a diverse Società di Call Center dove si legge specificatamente che […]qualora non ricorrano i delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici – si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati[…].

Attenzione, dunque soprattutto nelle attività di marketing o comunque in quelle attività dove l’Autorità si è pronunciata a non confondere la corretta base di liceità da utilizzare; stante che un’erronea individuazione con contestuale attività di trattamento sui dati è la strada più facile per essere attenzionati e subire un’attività ispettiva.

to be continued 1/2

 

Intervento di Marco CASSARO,  Avvocato e Senior / Advisory Risk & Compliance  –  BDO Italia S.p.A.

LEGGI QUI l’articolo successivo 2/2,  GRPR e trattamenti: come scegliere la basi di liceità per evitare le sanzioni


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679  –  EDPB,  04-05-2020

(2)   Linee guida 2/2019 sul trattamento di dati personali  ai sensi dell’articolo 6, paragrafo 1, lettera b)  –  EDPB,  08-10-2019

(3)   Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – GDPR

(3)   Regolamento UE 2016 679. Arricchito con riferimenti ai Considerando Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018

(4)   Parere 2/2017 sul trattamento dei dati sul posto di lavoro del WP29 (Gruppo di Lavoro Articolo 29)

(5)   Autorità Garante Nazionale con la Newsletter nr. 476 del 27 aprile 2021

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *