
GUIDA AL GDPR: LICEITA’ DEL TRATTAMENTO E INFORMATIVA
25 Maggio 2017
Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.
Questa Guida definisce un quadro generale delle principali novità introdotte dal GDPR e fornisce utili indicazioni sulle prassi da seguire e gli adempimenti da attuare per applicare correttamente la normativa.
COSA PREVEDE QUESTA GUIDA?
Il testo della Guida è articolato in 6 sezioni: ogni sezione descrive in modo semplice e diretto cosa cambierà e cosa resterà invariato rispetto all’attuale disciplina del trattamento dei dati personali.
Vediamo insieme in questo articolo le prime due sezioni.
A breve pubblicheremo un nuovo articolo in cui potrete approfondire le successive quattro sezioni: per rimanere sempre aggiornato iscriviti alla nostra newsletter!
GDPR: FONDAMENTI DI LICEITÁ DEL TRATTAMENTO
Il regolamento conferma che ogni trattamento deve avere il proprio fondamento in una idonea base giuridica.
I fondamenti di liceità, previsti dall’art. 6 del GDPR, coincidono grossomodo con quelli previsti dal Codice: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi a cui i dati vengono comunicati.
Le novità sul consenso:
- Per i dati “sensibili” deve essere esplicito e lo stesso vale rispetto a decisioni basate su trattamenti automatizzati;
- Non deve essere per forza documentato per iscritto, né è richiesta la forma scritta (anche se questa rimane la modalità più adeguata per configurare l’inequivocabilità e l’esplicitezza del consenso);
- Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato lo ha prestato a un trattamento specifico;
- Per i minori è valido a partire dai 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Non cambia il fatto che il consenso debba essere sempre libero, specifico, informato e inequivocabile (non è ammesso infatti il consenso tacito o presunto) e che debba essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.
Per ulteriori approfondimenti, leggi il nostro articolo “IL CONSENSO NEL REGOLAMENTO EUROPEO”
GDPR: INFORMATIVA
L’art. 13 del GDPR elenca in modo puntuale quanto il titolare deve sempre indicare in un’informativa:
- I contatti del DPO (se presente)
- La base giuridica del trattamento
- Se trasferisce i dati personali in Paesi terzi
- Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo
- Il diritto di presentare un reclamo all’autorità di controllo
- Se il trattamento comporta processi decisionali automatizzati
Se i dati non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine non superiore ad un mese dalla raccolta, oppure al momento della registrazione dei dati.
Il Regolamento specifica quali debbano essere le caratteristiche dell’informativa:
- Deve avere forma concisa, trasparente, comprensibile per l’interessato e facilmente accessibile
- Deve essere scritta in un linguaggio chiaro e semplice
- Viene consegnata in forma prevalentemente scritta e in formato elettronico (sono comunque ammessi altri mezzi)
- Sono ammesse icone per la sua composizione, purché queste siano accompagnate da una informativa estesa (queste icone dovranno essere uguali in tutta Europa e saranno definite dalla Commissione Europea)
Per quanto riguarda l’esonero dall’informativa, il Regolamento sottolinea che spetta al Titolare del Trattamento valutare se questa rappresenti uno sforzo sproporzionato.
Approfondiremo le successive quattro sezioni che riguardano i seguenti aspetti, nel prossimo articolo:
- I diritti degli interessati
- Titolare, Responsabile, Incaricato
- Accountability e valutazione del rischio
- Trasferimento internazionale di dati