Questo articolo è il primo di una serie con i quali cercheremo di raccogliere nel modo più sintetico possibile i fondamenti di cui si compone il “GDPR”, acronimo di “General Data Protection Regulation”, o più semplicemente il Regolamento generale sulla protezione dei dati.
Il primo argomento che esaminiamo è relativo alla liceità del trattamento dei dati personali.
Prima di addentrarci nell’argomento, è doveroso tuttavia dare una definizione dei concetti di dati personali e trattamento.
I dati personali sono le informazioni che permettono l’identificazione, diretta o indiretta di una persona fisica. Attraverso il loro impiego è possibile risalire alle sue caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute e il suo stato economico.
I dati personali si raggruppano in due macro categorie principali che sono:
- DATI PER IDENTIFICAZIONE DIRETTA: tra questi rientrano i dati anagrafici (quelli inseriti nella carta d’identità per intenderci, compresa la fotografia);
- DATI PER IDENTIFICAZIONE INDIRETTA: è l’insieme dei dati che non forniscono un’identità immediata della persona ma con i quali è possibile risalire alla stessa. I principali sono il CODICE FISCALE e il NUMERO di TESSERA SANITARIA;
- I DATI RIENTRANTI IN PARTICOLARI CATEGORIE: sono i DATI SENSIBILI con i quali è possibile risalire alla razza, alla religione, all’orientamento politico, ideologico, sessuale e allo stato di salute di una persona. Sono considerati sensibili anche i dati biometrici e quelli genetici;
- eventuali CONDANNE PENALI E REATI: sono i dati giudiziari, sensibili, con i quali è possibile rilevare possibili provvedimenti sottoponibili ad iscrizione nel casellario giudiziale come i provvedimenti penali di condanna definitivi, condizionali, divieto di soggiorno per cittadini extracomunitari o far emergere la qualità della persona imputata o indagata;
- sensibili sono anche i dati che comprendono le comunicazioni elettroniche, ovvero scambi di email o messaggi telefonici, e la geolocalizzazione.
Il trattamento è un’operazione o un insieme di operazioni che vengono applicate a dati personali o a un insieme di dati personali.
Le possibili operazioni sui dati sono la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione con trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Questo lungo elenco è riportato nell’articolo 4, paragrafo 1 e punto 2 del Regolamento 2016/679 del GDPR. I soggetti preposti al trattamento dei dati personali adottano misure che devono garantire il corretto e sicuro utilizzo degli stessi. Di tali figure daremo dettagli più specifici nei successivi articoli.
Per liceità del trattamento s’intende un insieme di condizioni tali da far si che la procedura adottata per gestire dati personali sia conforme rispetto alla riservatezza di quanto si sta gestendo. L’articolo 6 del GDPR definisce la liceità del trattamento ed è composto da 4 commi, il primo dei quali definisce le condizioni per considerare lecito un trattamento nel caso in cui sia rispettato almeno uno dei seguenti 6 punti:
- l’interessato (il soggetto al quale si chiede il consenso al trattamento dei dati) deve aver dato il consenso per il trattamento dei suoi dati per quella o quelle specifiche finalità;
- solo con il trattamento è possibile eseguire un contratto di cui l’interessato è parte o eseguire misure precontrattuali adottate su richiesta dello stesso;
- solo con il trattamento è possibile l’adempimento ad un obbligo legale al quale è soggetto il titolare del trattamento (il soggetto che svolge o deve svolgere il trattamento dei dati);
- solo con il trattamento è possibile salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica;
- solo con il trattamento è possibile eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri da parte del titolare del trattamento;
- solo con il trattamento il titolare del trattamento dei dati o terzi possono perseguire i loro interessi basta che non vengano prevalicati gli interessi o le libertà fondamentali dell’interessato, soprattutto se minore, e che richiedono la protezione dei dati personali;
La lettera f) del primo comma non viene applicata al trattamento di dati qualora questo sia svolto dalle autorità pubbliche nell’esecuzione dei loro doveri. Nel secondo comma gli Stati membri possono conservare o introdurre disposizioni più precise con l’obbiettivo di adeguare l’applicazione delle norme del presente regolamento facendo attenzione al trattamento, in conformità al paragrafo 1, lettere c) ed e), andando così a stabilire in modo più preciso i requisiti specifici per il trattamento e per le altre misure utili a garantire un trattamento lecito e corretto anche per altre forme di trattamento di cui al capo IX.
Il terzo comma stabilisce che il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), si fonda sul Diritto dell’Unione Europea e sul Diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è definita su tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per poter eseguire un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri da parte del titolare del trattamento. Questa base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento che svolge il titolare del trattamento; le tipologie di dati sottoponibili al trattamento; gli interessati; i soggetti a cui è possibile comunicare i dati personali e i propositi per cui vengono comunicati; le limitazioni della finalità, i periodi nei quali è possibile conservare i dati per cui si è ottenuto il consenso dall’interessato e le operazioni e procedure di trattamento, comprese le misure capaci di garantire un trattamento lecito e corretto, come quelle per altre specifiche situazioni di trattamento di cui al capo IX.
Il Diritto dell’Unione o di ogni singolo Stato membro persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. Il quarto e ultimo comma stabilisce che nei casi in cui il trattamento sia stato svolto per una finalità che diverge da quella per cui è stata data l’autorizzazione e, in conseguenza di ciò, i dati sono stati raccolti senza il consenso dell’interessato o tale autorizzazione è stata data sulla base di un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata secondo gli obiettivi di cui all’articolo 23, paragrafo 1, per verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto
- di ogni legame tra gli obbiettivi per cui i dati personali sono stati raccolti e gli obbiettivi dell’ulteriore trattamento previsto;
- del contesto in cui i dati personali sono stati raccolti, in particolare tenendo conto di una possibile relazione tra l’interessato e il titolare del trattamento;
- della natura dei dati personali, specialmente nel caso in cui vengano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se vengono trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
- delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
- dell’esistenza di ulteriori garanzie la cifratura o la pseudonimizzazione dei dati trattati.
Prossimamente tratteremo i ruoli previsti dal GDPR esaminando la figura dell’interessato e dei suoi diritti.
