GDPR: Il consenso dell’interessato è sempre richiesto?
GDPR: Il consenso dell’interessato è sempre richiesto?
di Stefania Di Martino
Il Capo III del Regolamento (UE) 2016/679 è dedicato ai diritti dell’interessato, il protagonista indiscusso del Regolamento Generale sulla Protezione dei Dati (GDPR).
L’art. 5, comma 1, lettera a), invece stabilisce che i dati devono essere trattati in modo lecito, corretto e trasparente.
Quando può ritenersi lecito il trattamento dei dati personali?
Il trattamento dei dati personali è lecito quando:
L’interessato esprime il proprio consenso per una specifica finalità.
Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento.
Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi.
Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento.
Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Dunque il consenso è solo una delle basi giuridiche che rendono lecito il trattamento dei dati personali – non l’unica – e quindi non sempre è necessario raccogliere il consenso dell’interessato per poter trattare i suoi dati personali.
Quando può ritenersi corretto e trasparente?
Il trattamento dei dati personali è corretto e trasparente quando il Titolare del trattamento comunica all’interessato:
Il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo.
L’esistenza del diritto dell’interessato di chiedere al Titolare del trattamento l’accesso ai dati personali, la rettifica, la cancellazione, la limitazione del trattamento che lo riguardano, la portabilità dei dati o di opporsi al trattamento dei dati.
L’esistenza del diritto di revocare il consenso in qualsiasi momento.
Il diritto di reclamo all’autorità di controllo.
Se la comunicazione dei dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto.
L’esistenza di un processo decisionale automatizzato, compresa la profilazione.
I diritti dell’interessato però dipendono dalla base giuridica su cui si fonda la liceità del trattamento dei dati personali.
Nella fattispecie il diritto alla revoca del consenso (art. 7, comma 3) si ha solo se la base giuridica scelta dal Titolare del trattamento è legata al consenso espresso dall’interessato e quindi tale diritto non è riconosciuto se la liceità del trattamento fa riferimento ad altre basi giuridiche.
Il diritto alla portabilità dei dati (art. 20) invece si ha solo nei casi in cui il trattamento dei dati personali è basato sul consenso o per l’esecuzione di un contratto.
Il diritto di opposizione (art. 21) non sussiste se la liceità del trattamento si basa sul consenso ma sussiste se la liceità del trattamento si basa sulle condizioni relative l’esecuzione di un compito di interesse pubblico o se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
Infine quando la liceità del trattamento si basa sul consenso dell’interessato, la richiesta del consenso deve essere presentata in modo chiaramente distinguibile, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro e in particolare il Titolare del trattamento è tenuto a fornire all’interessato le seguenti informazioni:
L’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante.
I dati di contatto del responsabile della protezione dei dati, ove applicabile.
Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento.
Qualora il trattamento si basi sull’art. 6, comma 1, lettera f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi.
Gli eventuali destinatari o le eventuali categorie di dati personali.
L’eventuale intenzione del Titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale.
Napoli, 16 luglio 2018