Questo articolo fa seguito al nostro vecchio blog sul consenso ai sensi del GDPR, in cui abbiamo spiegato brevemente come funziona il consenso e quali sono i suoi limiti. Abbiamo brevemente accennato al fatto che il consenso non è sempre necessario e che i dati personali possono talvolta essere trattati legittimamente senza il consenso dell'interessato.
Oggi esamineremo da vicino tutte le altre basi giuridiche per il trattamento dei dati ai sensi del GDPR. Si tratta di materiale sufficiente per scriverci un libro, quindi lo terremo il più breve e diretto possibile.
- Che cos'è una base giuridica?
- Quali sono le basi giuridiche previste dal GDPR?
- Quale base giuridica scegliere?
- Le basi giuridiche
- Riflessioni finali
Tuffiamoci nel vivo!
Che cos'è una base giuridica?
In poche parole: per trattare i dati in modo lecito1, è necessario basarsi su una delle sei basi giuridiche elencate dall'articolo 6 del GDPR. Da un punto di vista pratico, considerate queste condizioni come requisiti alternativi che devono essere soddisfatti quando i dati devono essere trattati.
Quali sono le basi giuridiche previste dal GDPR?
L'art. 6(1) elenca sei basi giuridiche:
- consenso
- l'esecuzione di un contratto
- l'adempimento di un obbligo legale
- l'interesse vitale dell'interessato o di un'altra persona fisica
- l'esecuzione di un compito di interesse pubblico/esercizio di un'autorità pubblica
- il legittimo interesse del responsabile del trattamento
Queste basi giuridiche sono accompagnate da requisiti specifici, che possono essere considerati una serie di "pro e contro". Ad esempio, il consenso deve essere dato liberamente, specifico, informato e non ambiguo"2. Se questi requisiti non possono essere soddisfatti, si deve ricorrere a un altro motivo. A volte sono disponibili due o più motivi, mentre altre volte può non essercene alcuno, nel qual caso i dati non possono essere trattati.
Va notato che non esiste un ordine di priorità tra i motivi legali. Ad esempio, un titolare del trattamento è libero di scegliere tra il consenso (elencato per primo) e il legittimo interesse (elencato per ultimo), a condizione che i requisiti di ciascun motivo possano essere soddisfatti in quello specifico scenario.
Quale base giuridica scegliere?
Come abbiamo detto, ogni base giuridica ha requisiti specifici. A volte ne sarà disponibile solo uno, quindi non avrete scelta. Altre volte potete scegliere tra due o più basi giuridiche.
Ogni base giuridica ha pro e contro. Ad esempio, supponiamo di poter scegliere tra il consenso e il legittimo interesse. Se scegliete il consenso, dovete innanzitutto raccogliere i dati. Inoltre, dovete assicurarvi che i requisiti del consenso (liberamente dato, informato, specifico e non ambiguo) siano soddisfatti. Infine, dovete essere consapevoli che il consenso può essere revocato e prepararvi a gestire questa eventualità.
Se invece vi basate sul legittimo interesse, non avete bisogno di raccogliere il consenso e non dovete preoccuparvi che il consenso possa essere ritirato in seguito. Tuttavia, dovrete bilanciare il vostro interesse con i diritti dell'interessato, che può opporsi al trattamento (per maggiori informazioni, si veda più avanti).
Si tratta quindi di una valutazione caso per caso. Ad esempio, se il trattamento è molto invasivo, il vostro interesse legittimo potrebbe essere difficile da bilanciare e il consenso potrebbe essere una scelta migliore. D'altro canto, se siete molto preoccupati per la revoca del consenso, potreste prendere in considerazione il legittimo interesse. Non esiste una soluzione univoca, il che rende il gioco divertente.
Detto questo, tutti i motivi hanno requisiti specifici e, di conseguenza, alcuni sono più facilmente accessibili a determinati responsabili del trattamento. Le aziende e gli altri enti privati si basano in genere sul consenso, sul contratto e sul legittimo interesse. D'altro canto, gli enti pubblici si basano solitamente sull'obbligo legale o sull'interesse pubblico/autorità3.
Le basi giuridiche
Abbiamo già parlato del consenso, quindi analizzeremo le altre basi. C'è molto da dire sulle basi giuridiche e in questa sede possiamo solo scalfire la superficie.
Il contratto
Ai sensi dell'art. 6(1)(b) del GDPR, potete trattare i dati quando il trattamento è "necessario per l'esecuzione di un contratto" con l'interessato o per stipulare un contratto su sua richiesta. Ad esempio, se state spedendo della merce a un cliente, avete bisogno di un indirizzo di consegna e di informazioni di contatto per garantire che la spedizione vada a buon fine. Potete trattare questi dati in base all'esecuzione del contratto con il cliente.
Il contratto è una base giuridica comoda e senza problemi. D'altra parte, è piuttosto restrittiva per quanto riguarda i dati che possono essere trattati, perché la nozione di necessità deve essere interpretata in modo rigoroso e in riferimento all'oggetto effettivo del contratto.
In altre parole, non è possibile prevedere l'elaborazione di dati non necessari in un contratto come comoda scusa per fare affidamento su questa base giuridica. Le autorità di protezione dei dati non vi permetteranno di imbrogliare il sistema in questo modo. Detto questo, non è sempre chiaro se il trattamento di determinati dati sia essenziale per un contratto, quindi nella pratica possono esserci delle zone grigie.
È necessario un chiarimento tra i motivi contrattuali e il consenso. Per essere chiari: il consenso al contratto e il consenso al trattamento dei dati non sono la stessa cosa. Tuttavia, quando il trattamento fa parte di un contratto, è bene identificare esplicitamente la base giuridica per il trattamento dei dati, per sicurezza. Ciò può evitare qualche grattacapo in futuro e aiuta il titolare del trattamento a rispettare i suoi obblighi di trasparenza ai sensi dell'art. 13 del RGPD. 13.
Aggiornamento: l'European Data Protection Board ha recentemente risolto tre casi di alto profilo riguardanti Meta. I casi riguardavano l'esecuzione del contratto come base giuridica e il Consiglio si è limitato a chiarire ciò che era già ben stabilito: la nozione di necessità deve essere interpretata in modo rigoroso. Abbiamo discusso le decisioni in modo approfondito perché probabilmente avranno un impatto importante sulla pubblicità mirata.
Interesse legittimo
Ai sensi dell'art. 6(1)(f), i dati possono essere trattati quando è necessario per perseguire un interesse legittimo del responsabile del trattamento o di un terzo. Ad esempio, un'azienda può installare telecamere di sorveglianza nei propri locali in base al suo legittimo interesse a proteggere la proprietà.
Il concetto di interesse legittimo è molto ampio. Può comprendere l'interesse di una persona a proteggere la propria proprietà, l'interesse di un'azienda a gestire la propria attività o a pubblicizzare un prodotto, l'interesse di una ONG a perseguire obiettivi umanitari e l'interesse di un sito web a generare entrate pubblicitarie. Anche un interesse generale può talvolta essere invocato per fare affidamento sull'interesse legittimo.
Di conseguenza, l'interesse legittimo è un motivo molto flessibile e può essere utilizzato per molti scopi. Tuttavia, questa flessibilità comporta una limitazione specifica (e un onere di conformità): il responsabile del trattamento deve garantire che il suo interesse non sia prevalente rispetto agli interessi, ai diritti e alle libertà degli interessati.
Questa valutazione viene comunemente definita " bilanciamento". In breve, il bilanciamento consiste in tre domande#4 l'interesse è legittimo? Il trattamento è necessario? E il trattamento ha un impatto sproporzionato sulla posizione dell'interessato?
Sembra abbastanza semplice, ma è piuttosto complicato. Il bilanciamento è una valutazione caso per caso e deve tenere conto di molte variabili. Tornando al nostro esempio: le telecamere sono sempre attive o solo al di fuori dell'orario di lavoro? Le telecamere sono posizionate nel parcheggio dell'azienda o all'interno del luogo di lavoro, dove possono riprendere i dipendenti mentre lavorano? Le telecamere registrano filmati di pedoni che si muovono lungo la strada? Tutte queste domande sono rilevanti ai fini del bilanciamento dell'interesse legittimo.
In termini pratici, il responsabile del trattamento effettuerà tipicamente il test di bilanciamento redigendo una valutazione (valutazione del legittimo interesse o LIA). Sebbene non sia obbligatoria ai sensi del GDPR, una valutazione scritta è il modo più semplice per il responsabile del trattamento di dimostrare di aver svolto i propri compiti in merito al bilanciamento5.
C'è molto altro da dire sul bilanciamento6 e non possiamo approfondire in questa sede. Ma il punto cruciale è che il bilanciamento è complicato e bisogna tenerne conto quando si decide di fare affidamento sul legittimo interesse. D'altra parte, l'interesse legittimo è un terreno molto flessibile, quindi in alcuni scenari potrebbe essere l'unica scelta possibile.
Due ultimi punti. In primo luogo, il GDPR prevede che le autorità pubbliche non possano invocare questo motivo nello svolgimento dei loro compiti7. In secondo luogo, l'interessato ha il diritto di opporsi al trattamento dei propri dati sulla base del legittimo interesse8. In particolare, questo diritto funziona come un meccanismo di opt-out dal trattamento dei dati personali per il marketing diretto9. Non entreremo nei dettagli, ma se siete curiosi, il sito web dell'ICO è una buona fonte di informazioni su questo argomento (non c'è differenza tra il GDPR e il GDPR del Regno Unito a questo proposito).
Obbligo legale
Ai sensi dell'art. 6(1)(c), i dati personali possono essere trattati quando il trattamento "è necessario per adempiere a un obbligo legale". Ad esempio, una banca può trattare i dati personali dei propri clienti per adempiere agli obblighi previsti dalla normativa antiriciclaggio.
L'art. 6(3) specifica inoltre che la fonte di un obbligo legale deve essere il diritto dell'UE o di uno Stato membro. Il concetto di legge è ampio e comprende norme come atti amministrativi o decisioni giudiziarie10. Indipendentemente da ciò, questa "legge" deve soddisfare i requisiti specifici stabiliti dal GDPR. Ciò significa che gli Stati membri non possono rendere lecito qualsiasi trattamento di dati personali semplicemente creando una legge a tale scopo.
Proprio come l'esecuzione di un contratto, l'obbligo legale è un motivo relativamente semplice, ma è anche molto restrittivo per quanto riguarda i dati che possono essere trattati.
Interesse vitale
Ai sensi dell'articolo 6, paragrafo 1, lettera d), i dati possono essere trattati per proteggere gli interessi vitali dell'interessato o di un'altra persona. Ad esempio, se un dipendente è in pericolo imminente, il datore di lavoro può fornire alla forza pubblica i dati GPS dell'assistenza aziendale in modo da poterlo trovare e intervenire il prima possibile.
In questo contesto, interesse vitale significa che si sta verificando una situazione di pericolo di vita. Si tratta di un motivo piuttosto eccezionale e non utilizzabile per il trattamento quotidiano dei dati.
Interesse pubblico o esercizio di pubblici poteri
Si tratta di un argomento lungo: ai sensi dell'art. 6(1)(e), i dati possono essere trattati quando sono "necessari per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il responsabile del trattamento". Ad esempio, una scuola pubblica può trattare i voti degli studenti in base al suo compito pubblico di promuovere l'istruzione. L'autorità fiscale può trattare i vostri dati personali quando esegue un'ispezione perché può farlo in base alla legge.
Questo motivo è tipicamente utilizzato dalle autorità pubbliche e dagli enti pubblici, in quanto è più flessibile dell'obbligo legale. Può essere utilizzato anche da soggetti privati, ma solo in scenari specifici, ad esempio quando un'azienda privata fornisce un servizio pubblico nell'ambito di un contratto di appalto.
Infine, il diritto di opposizione di cui abbiamo parlato in precedenza si applica anche al trattamento dei dati basato sull'interesse pubblico/autorità11.
Riflessioni finali
Gestire correttamente i dati personali è importante. Tuttavia, le linee guida e le leggi non sono sempre di facile comprensione del GDPR. Abbiamo cercato di creare una panoramica completa per fare un po' di chiarezza sulle diverse basi legali per la raccolta dei dati. Il GDPR ha fissato i confini di ciò che è possibile e ciò che non lo è. Come azienda, dovete aderire a queste leggi per proteggere la privacy dei vostri clienti. Una chiara comprensione di queste basi legali riduce i rischi di cause legali e di violazione dei dati.
Anche se il GDPR non esistesse e non ci fossero leggi da violare in materia di protezione dei dati, le organizzazioni sono moralmente obbligate a gestire i dati dei visitatori dei loro siti web in modo responsabile. Almeno, questo è ciò che crediamo noi di Simple Analytics.
È per questo che abbiamo creato un'alternativa a Google Analytics che non utilizza cookie e non raccoglie dati personali, pur ottenendo informazioni utili dai visitatori del vostro sito web.
Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito web e che al contempo fornisca le informazioni necessarie per gestire la vostra attività. Se tutto questo vi sembra interessante, non esitate a provarci.
#1 Questo è il principio di liceità stabilito dall'art. 5(1)(a) del GD. 5(1)(a) GDPR. [^2]: Art. 4(11) GDPR. [^3]: Gli enti pubblici di solito godono di un certo grado di squilibrio di potere con l'interessato, il che significa che il consenso non è sempre dato liberamente come richiesto dall'art. 4(11) GDPR. 4(11) GDPR. L'art. 6 prevede inoltre che le autorità pubbliche (che è più specifico degli enti pubblici) non possano fare affidamento sul legittimo interesse quando potrebbero invece fare affidamento sull'interesse pubblico/autorità [^4]: Si tratta del test in tre parti sviluppato dalla CGUE (CGUE - C-13/16 - Rīgas satiksme). [^5]: Si veda l'art. 5(2) (responsabilità) e 24 GPDR (responsabilità del responsabile del trattamento). [^6]: Se volete saperne di più sul legittimo interesse, l'ICO britannico fornisce informazioni molto accessibili sul suo sito web[^7]: Art. 6(1) GDPR. [^8]: 21 GDPR. Lo stesso vale per il trattamento basato su 6(1)(e). [^9]: 21(3) GDPR. [^10]: Kuner e altri, Commentary On The EU General Data Protection Regulation (GDPR). A Commentary, 2020, p. 333. [^11]: 21 GDPR.