Foto
13Nov

Fondamenti di liceità e guida al GDPR

Il Regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica. I fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono con quelli previsti attualmente dal Codice privacy - D. Lgs. 196/2003:
 
  • Consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
 
CONSENSO
 
Cosa cambia?
 
Per i dati sensibili (art. 9 regolamento) il consenso deve essere esplicito. Lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). 
 
Non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili). Inoltre, il titolare (art. 7.1) Deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
 
Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale). Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
 
Cosa non cambia?
 
Deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. (No a caselle pre-spuntate su un modulo).
Deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile.
 
Inoltre, il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
  In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).
  I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali.