Novità in merito alla liceità del trattamento dei dati personali nel nuovo regolamento europeo della Privacy. Com’è noto ormai, il 25 maggio 2018 avrà immediatamente efficacia il Regolamento Generale della gestione dei dati (GDPR) che andrà a sostituire l’attuale “Testo Unico Privacy” (D.l Lgs 196/2003).
In generale il GDPR a differenza del codice in materia di privacy non è più “consenso centrico” nel senso che il consenso è una delle basi giuridiche di liceità del trattamento, il professionista può trattare i dati personali se esiste un interesse legittimo.
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” (accountability) introdotto dal GDPR. L’interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.
In particolare, il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e sono:
- Consenso libero, specifico, informato e inequivocabile
- non ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
- Consenso manifestato attraverso “dichiarazione o azione positiva inequivocabile”
- Consenso non necessariamente “documentato per iscritto” anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili);
- Per i dati “sensibili” il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati, compresa la profilazione.
- il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Il Garante della privacy ha pubblicato una guida al GDPR il 27 marzo 2018, qui allegata.
