GUIDA AL GDPR: LICEITA’ DEL TRATTAMENTO E INFORMATIVA

25 Maggio 2017

Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.
Questa Guida definisce un quadro generale delle principali novità introdotte dal GDPR e fornisce utili indicazioni sulle prassi da seguire e gli adempimenti da attuare per applicare correttamente la normativa.

COSA PREVEDE QUESTA GUIDA?

Il testo della Guida è articolato in 6 sezioni: ogni sezione descrive in modo semplice e diretto cosa cambierà e cosa resterà invariato rispetto all’attuale disciplina del trattamento dei dati personali.
Vediamo insieme in questo articolo le prime due sezioni.
A breve pubblicheremo un nuovo articolo in cui potrete approfondire le successive quattro sezioni: per rimanere sempre aggiornato iscriviti alla nostra newsletter!

GDPR: FONDAMENTI DI LICEITÁ DEL TRATTAMENTO

Il regolamento conferma che ogni trattamento deve avere il proprio fondamento in una idonea base giuridica.

I fondamenti di liceità, previsti dall’art. 6 del GDPR, coincidono grossomodo con quelli previsti dal Codice: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi a cui i dati vengono comunicati.

Le novità sul consenso:

Per i dati “sensibili” deve essere esplicito e lo stesso vale rispetto a decisioni basate su trattamenti automatizzati;
Non deve essere per forza documentato per iscritto, né è richiesta la forma scritta (anche se questa rimane la modalità più adeguata per configurare l’inequivocabilità e l’esplicitezza del consenso);
Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato lo ha prestato a un trattamento specifico;
Per i minori è valido a partire dai 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Non cambia il fatto che il consenso debba essere sempre libero, specifico, informato e inequivocabile (non è ammesso infatti il consenso tacito o presunto) e che debba essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.

Per ulteriori approfondimenti, leggi il nostro articolo “IL CONSENSO NEL REGOLAMENTO EUROPEO”

GDPR: INFORMATIVA

L’art. 13 del GDPR elenca in modo puntuale quanto il titolare deve sempre indicare in un’informativa:

I contatti del DPO (se presente)
La base giuridica del trattamento
Se trasferisce i dati personali in Paesi terzi
Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo
Il diritto di presentare un reclamo all’autorità di controllo
Se il trattamento comporta processi decisionali automatizzati

Se i dati non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine non superiore ad un mese dalla raccolta, oppure al momento della registrazione dei dati.

Il Regolamento specifica quali debbano essere le caratteristiche dell’informativa:

Deve avere forma concisa, trasparente, comprensibile per l’interessato e facilmente accessibile
Deve essere scritta in un linguaggio chiaro e semplice
Viene consegnata in forma prevalentemente scritta e in formato elettronico (sono comunque ammessi altri mezzi)
Sono ammesse icone per la sua composizione, purché queste siano accompagnate da una informativa estesa (queste icone dovranno essere uguali in tutta Europa e saranno definite dalla Commissione Europea)

Per quanto riguarda l’esonero dall’informativa, il Regolamento sottolinea che spetta al Titolare del Trattamento valutare se questa rappresenti uno sforzo sproporzionato.

Approfondiremo le successive quattro sezioni che riguardano i seguenti aspetti, nel prossimo articolo: