Blog
Nozioni essenziali sulla privacy e la conformità
Manuele Martinez

Come scegliere la giusta base giuridica per l'elaborazione dei dati

Come scegliere la giusta base giuridica per l'elaborazione dei dati

Titolo 2
Titolo 3
Condividi questo contenuto

I dati personali sono importanti per gli individui e hanno un valore elevato per le organizzazioni, quindi è essenziale identificare una base giuridica per il loro trattamento. Per aiutarti a identificare quella corretta, abbiamo stabilito qual è ogni base giuridica ed esempi di scenari in cui è possibile fare affidamento su di essa. Non dimenticare di includere queste informazioni nella tua informativa sulla privacy per dimostrare la tua responsabilità e trasparenza!

Quali sono le basi giuridiche per il trattamento?

L'articolo 6 del GDPR stabilisce le 6 basi giuridiche per il trattamento come: (a) Consenso (b) Contratto (c) Obbligo legale (d) Interessi vitali (e) Incarico pubblico (f) Interessi legittimi Ma prima, il tuo trattamento dei dati personali soddisfa il test della necessità? Tutte tranne una delle 6 basi giuridiche per il trattamento richiedono il concetto di necessità che afferma che il trattamento dei dati personali deve essere l'unico modo per la tua organizzazione di raggiungere i tuoi obiettivi e non ci sono altri metodi che possono aiutarti a farlo. Il test di necessità è determinato di seguito:

  • Il trattamento dei dati personali di qualcuno è un metodo ragionevole e proporzionato per raggiungere un determinato obiettivo?
  • Esiste un metodo alternativo meno invasivo per raggiungere questo obiettivo, più ragionevole e proporzionato?
  • Sei sicuro che non esista un'alternativa altrettanto efficace?

Per superare il test di necessità, la tua organizzazione deve garantire che il trattamento dei dati personali sia più di una semplice questione di praticità o che potrebbe essere potenzialmente utile, o anche perché è una prassi standard. Deve essere il caso che senza il trattamento dei dati personali, non si possa raggiungere un obiettivo legittimo e trasparente. Ad esempio, è necessario che una compagnia aerea elabori i dati della carta di credito dei propri clienti per vendergli i biglietti e nessun altro metodo può aiutarla a raggiungere questo scopo.

Una volta che sei in grado di rispondere sì, no e sì alle domande di cui sopra, puoi procedere all'identificazione di una base giuridica per il trattamento.

Consenso

L'articolo 4 (11) del GDPR definisce il consenso come "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato , con la quale quest'ultimo, mediante dichiarazione o azione positiva inequivocabile, manifesta il proprio assenso al trattamento dei dati personali che lo riguardano". Il metodo per ottenere il consenso deve essere " chiaro, conciso e non inutilmente dirompente " e deve essere distinguibile da altre richieste di consenso, in modo da essere specifico e informato, in modo che gli interessati abbiano tutte le informazioni su ciò a cui stanno acconsentendo. Laddove sia richiesto un trattamento per finalità diverse, ciascuna di esse deve essere elencata in modo che gli individui possano acconsentire a ciascuna separatamente.

Il consenso deve anche essere liberamente prestato e in situazioni in cui il titolare del trattamento dei dati ha un potere significativo sul soggetto interessato, è meno probabile che ci si affidi al consenso (anche se non impossibile). Allo stesso modo, il consenso deve essere separato da altre operazioni di elaborazione per scopi diversi, altrimenti non sarebbe liberamente prestato. Ad esempio, l'esecuzione di un contratto non può essere legata al consenso al trattamento dei dati personali per tale contratto, poiché ciò non costituirebbe un consenso liberamente prestato.

Esempi

  • Spuntare una casella su un sito web
  • Scelta di impostazioni specifiche su app e siti web
  • Consentire agli interessati di dimostrare il proprio consenso attraverso la propria condotta
  • Il consenso non può essere silenzio, caselle preselezionate, caselle di opt-out o inattività

Contrarre

Si tratta di un motivo comunemente utilizzato per l'elaborazione dei dati quando esiste una relazione contrattuale tra l'interessato e il titolare del trattamento. Tuttavia, la relazione da sola non è sufficiente a giustificare l'utilizzo di questo motivo, poiché l'elaborazione deve anche essere necessaria per l'esecuzione di un contratto tra le due parti.

Il contratto stesso deve essere stipulato tra l'effettivo interessato e il titolare del trattamento affinché il titolare del trattamento possa fare affidamento su questa base, il che significa che i dati personali non possono essere elaborati per contratti tra il titolare del trattamento e una terza parte. Pertanto, un titolare del trattamento non può fare affidamento su questa base giuridica se ha un contratto con un fornitore terzo, poiché l'interessato non ne è parte.

Esempi

  • Prendere i dettagli di contatto del cliente per contattarlo su un servizio che fornirai loro
  • Laddove il trattamento dei dati personali sia richiesto come elemento di esecuzione del contratto che rientra nei termini e nelle condizioni del prodotto o del servizio
  • Quando il contesto di un accordo richiede il trattamento di dati personali

Obbligo legale

Le situazioni in cui questa base è rilevante sono quando i titolari del trattamento devono elaborare dati personali per conformarsi alla legislazione nazionale o dell'UE. L'elaborazione dei dati personali non deve essere necessariamente per un obbligo legale specifico che richiede che i dati siano elaborati in questo modo, ma piuttosto per soddisfare lo scopo generale di un obbligo legale.

Esempi

  • Obbligo legale stabilito dal diritto dell'UE o nazionale che deve essere rispettato dalla vostra organizzazione e il diritto dell'UE o nazionale è chiaro e preciso e la sua applicazione dovrebbe essere prevedibile per le persone soggette ad esso
  • Elaborazione dei dati personali dei dipendenti per ottemperare agli obblighi legali ai sensi dell'HMRC
  • Elaborazione dei dati personali al fine di presentare una segnalazione di attività sospetta all'Agenzia nazionale per la criminalità

Interesse vitale

Questa è una base rilevante in determinate circostanze in cui il trattamento è necessario per proteggere la vita di una persona o per mitigare il pericolo per gli individui. Spesso, il trattamento ai sensi di questa base giuridica è correlato a dati sanitari in situazioni di emergenza e quando l'interesse vitale della persona i cui dati personali necessitano di trattamento deve essere protetto.

Anche il trattamento dei dati personali di una persona per la tutela dell'interesse vitale di un'altra persona è possibile, seppur in misura limitata.

Esempi

  • La divulgazione della storia clinica di una persona al pronto soccorso dopo un grave incidente mortale

Compito pubblico

Per alcuni titolari del trattamento, il trattamento dei dati personali è necessario per svolgere un compito di interesse pubblico (come stabilito dalla legge) o esercitare un'autorità ufficiale (funzioni e poteri pubblici). Tale trattamento dovrebbe essere fondato sul diritto dell'UE e nazionale e deve essere proporzionato e legittimo rispetto allo scopo perseguito. Il considerando 41 del GDPR suggerisce che questa forma di trattamento dovrebbe essere prevedibile per coloro che sono interessati dal trattamento, ad esempio, se esiste una legge particolare che consente il trattamento dei dati personali per l'interesse pubblico.

Esempi

I considerando 45 , 55 e 56 del GDPR forniscono i seguenti esempi:

  • Per la salute pubblica o la protezione sociale
  • Gestione dei servizi sanitari
  • Raggiungere gli scopi delle associazioni religiose ufficialmente riconosciute, come stabilito dal diritto costituzionale o dal diritto pubblico internazionale
  • Nel corso delle attività elettorali in alcuni casi e a condizione che siano in atto adeguate garanzie per proteggere i diritti degli interessati

Interesse legittimo

Questa è una base giuridica flessibile per l'elaborazione dei dati personali, in quanto può essere utilizzata in situazioni che non rientrano in nessuna delle precedenti. Ma ciò significa anche che i titolari del trattamento hanno più obblighi per giustificare il loro affidamento su di essa. I titolari del trattamento dei dati dovranno:

  • Identificare l'interesse legittimo;
  • Dimostrare che il trattamento dei dati personali è necessario per conseguire questo legittimo interesse; e
  • Bilanciare l'interesse legittimo con gli interessi, i diritti e le libertà dell'interessato.

Come regola generale, il trattamento in base a interessi legittimi dovrebbe avere un impatto minimo sugli interessati e dovrebbe essere effettuato in un modo che questi ultimi ragionevolmente si aspetterebbero. Esempi I Considerando 47 , 48 e 49 del GDPR forniscono i seguenti esempi:

  • Trattamento dei dati personali per la prevenzione delle frodi
  • Elaborazione per finalità di marketing diretto
  • Laddove esista una "relazione pertinente e appropriata" tra l'interessato e il titolare del trattamento
  • Trattamento dei dati personali dei clienti o dei dipendenti
  • Ai fini delle considerazioni sulla sicurezza delle reti e delle informazioni

Come dovresti documentare la base giuridica del trattamento?

Dovresti tenere traccia della base giuridica del trattamento su cui hai fatto affidamento e della giustificazione per questo per tutti i dati personali che possiedi per dimostrare la responsabilità della tua organizzazione nella protezione dei dati personali. È qui che entra in gioco la piattaforma Privasee : può aiutarti a identificare la base giuridica per il trattamento e al contempo tenere traccia accurata di tutti i dati personali che possiedi mappandoli ed etichettandoli con la base giuridica corretta. In questo modo, puoi impostare la tua conformità in modalità pilota automatico e dimostrare la tua responsabilità e trasparenza sia agli interessati che agli enti normativi.

Disclaimer

L'articolo sopra riportato non costituisce in alcun modo una consulenza legale e mira solo a spiegare in dettaglio i concetti fondamentali definiti dal GDPR.

Fonti

https://ico.org.uk/for-organisations/gdpr-resources/lawful-basis-interactive-guidance-tool/ https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/ https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/#scd3 https://www.dataprotection.ie/sites/default/files/uploads/2020-04/Guidance%20on%20Legal%20Bases.pdf

19 ottobre 2021
Saperne di più

Post correlati

Nozioni essenziali sulla privacy e la conformità

Cosa sono le clausole contrattuali standard (SCC)?

28 novembre 2024
Nozioni essenziali sulla privacy e la conformità

Cos'è un modello di politica GDPR nel Regno Unito?

2 settembre 2024
Nozioni essenziali sulla privacy e la conformità

Conformità al GDPR per il marketing B2B

13 giugno 2023
Visualizza tutti
Saperne di più

Post in evidenza

Showcase

In cosa consiste il processo di approvvigionamento?

16 gennaio 2025
Showcase

Cos'è un DDQ?

15 gennaio 2025
Showcase

Cos'è una RFI?

22 dicembre 2024
Visualizza tutti