Le condizioni di liceità del trattamento
Elena Pesaresi
1
Le condizioni di liceità del trattamento
1. Premessa – Il diritto alla protezione dei dati tra uniformità e differenziazione 2. Le condizioni di liceità del trattamento
a) Il consenso
b) Gli altri presupposti di liceità: «I trattamenti necessari per …»
c) I presupposti di liceità specifici nel settore pubblico I. l’obbligo legale
II. l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
3. Le caratteristiche della base giuridica
4. Le disposizioni nazionali più specifiche: art. 2 ter del Codice a) Comunicazione
b) Diffusione
5. Le regole deontologiche
Premessa
La protezione dei dati come diritto fondamentale nel quadro costituzionale sovranazionale e parte integrante delle regole dell’Unione
Diritto «al servizio dell’uomo» (C.4) assicurato attraverso il contemperamento con altri diritti fondamentali in base al principio di proporzionalità
Precondizione per l’esercizio di altri diritti
Fonti normative nazionali artt. 2 e 3 Costituzione.
Legge n. 675/1996
d.lgs. 196/2003 Codice in materia di protezione dati
d.lgs. n. 101/2018 Fonti normative sovranazionali
Convenzione del Consiglio d’Europa n. 108/1981 art. 8 Convenzione europea dei diritti dell’uomo
art. 8 Carta dei diritti fondamentali dell’UE art.16 del TFUE
Direttiva 95/46CE Regolamento UE 2016/679
3
Nome docente Titolo lezione Data e numero lezione
Premessa
Trattamenti in ambito pubblico
o di particolari categorie di dati
(art. 9 e 10) o specifici trattamenti (titolo
IX)
regole differenziate, disposizioni più
specifiche a livello nazionale
norme di maggior tutela
In tale quadro d.lgs.n.101/2018
Il Regolamento è entrato in vigore in tutti gli Stati Membri (28 Paesi) Uniforme applicazione della normativa
Assicura il medesimo livello di garanzia in termini di diritti per gli interessati Impone stessi obblighi e responsabilità
Definisce un livello essenziale di tutela per le persone fisiche, identificate o identificabili, a prescindere dalla nazionalità o dal luogo di residenza
Elemento costitutivo della cittadinanza dell’unione
Dialettica tra uniformità e differenziazione
Ma…differenziazione «verso l’alto», gli Stati membri possono determinare con maggior dettaglio le condizioni alle quali il trattamento è lecito
e corretto
considerando 8 - 10 e 51 e art. 6
par. 2
Le condizioni di liceità quali presupposti di legittimazione del trattamento
fondamento giuridico del trattamento
Convenzione n. 108 del Consiglio d’Europa 1981
Per proteggere i diritti fondamentali della persona il trattamento deve soddisfare determinate condizioni: i
dati devono essere elaborati LEALMENTE e LEGALMENTE
OCSE Linee guida sulla protezione della vita privata e dei
flussi transfrontalieri dei dati personali (1980 aggiornate il11
luglio 2013) Liceità Lealtà
Trasparenza/conoscenza dell’interessato
consenso Direttiva 95/46/Ce
Artt. 6 e 7
Enumera le basi giuridiche come deroghe al diritto alla protezione
dei dati
La compressione del diritto necessita di un fine legittimo
che giustifichi l’ingerenza Art. 8 Carta dei diritti
fondamentali dell’Unione europea (stesso valore giuridico dei Trattati-trattato di
Lisbona, art. 16 TFUE) Diritto protezione dati autonomo dal diritto alla vita
privata (art.7) dicotomia
Consenso o altro fondamento legittimo
Regolamento UE 2016/679 art. 6
Fondamenti giuridici del trattamento per le quali si presume che esista un equilibrio tra i diversi diritti in gioco purché si rispetti la disciplina generale di
protezione dei dati (principi, obblighi e adempimenti)e le altre disposizioni normative applicabili
Norme di settore Ord sovranazionale e ord . interno
Trasversalità
art. 8 Conv. europea dei diritti dell’Uomo 1950
Vieta l’ingerenza nella vita privata a meno che sia prevista dalla legge e costituisca una misura che «in una società democratica è necessaria»
per soddisfare esigenze imperative che perseguono interessi generali
5
La liceità del trattamento: I PRINCIPI
art. 5
Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono
trattati
(
minimizzazione dei dati)
Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità
(limitazione della finalità)
Esatti e, se necessario, aggiornati; devono essere adottate le misure ragionevoli per cancellare o rettificare i dati inesatti rispetto alle finalità per le
quali sono trattati (esattezza) Trattati in maniera da garantire
un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure
tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal
danno accidentali
(integrità e riservatezza)
Conservati in una forma che consenta l'identificazione degli interessati per un arco di
tempo non superiore al conseguimento delle finalità per le quali sono
trattati
(limitazione della conservazione)
Trattati in modo lecito, corretto e trasparente nei confronti dell'interessato
(
liceità, correttezza e trasparenza)
Cfr. parte PRIMA paragrafo 1.1 6
Principi applicabili al trattamento dei dati personali
(Considerando 39 e 60 e art. 5, lett. a)
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto; un trattamento è corretto e trasparente se l’interessato è informato del trattamento e delle sue finalità.
Linee guida sul principio di trasparenza WP29 n.260/2017 il principio di trasparenza è espressione complementare del principio di correttezza e strettamente correlato al principio di responsabilizzazione accontability (il titolare deve poterlo
dimostrare)
7
Principi applicabili al trattamento dei dati personali
CORRETTEZZA
come relazione tra i soggetti del trattamento (titolare, responsabile, altri responsabili) e l’interessato
TRASPARENZA
• complementare al principio di correttezza, modalità corrette di trattamento presuppongono una compiuta informazione dell’interessato sulle caratteristiche del trattamento (chi tratta i dati, perché-finalità; con quali modalità sono raccolti, utilizzati, consultati o altrimenti trattati)
• E’ la misura del trattamento
• artt. 12,13,14 (possibilità di contestare le decisioni assunte proprio in quanto sia stato messo in condizione di conoscere la logica sottesa arg. ART. 22 cons.63) oppure art.34(il titolare ha l’obbligo di comunicare all’interessato(oltre che al Garante) la violazione così da renderlo edotto delle possibili conseguenze
LICEITA’
Conformità all’ordinamento
Le condizioni di liceità quali presupposti di legittimazione del trattamento
LICEITA’
Art. 6
Perché il trattamento sia lecito deve ricorrere almeno una di tali condizioni (sono cumulabili)Il quadro previgente presupponeva la diversa natura giuridica del titolare:
- soggetti pubblici (artt.18,19 e20 21 22 Codice) - soggetti privati/enti pubblici economici (artt.
23 e 24 e26 e 27 Codice) Art. 8 Carta dei diritti fondamentali UE
I dati devono essere trattati in base al consenso o altro fondamento
legittimo previsto dalla legge
Consenso dell’interessato o altri Presupposti in funzione degli interessi della
persona dell’interessato o di soggetti terzi (pubblici o privati) (C.40)
Disporre di un fondamento giuridico appropriato (es. necessario per l’esecuzione di un contratto) non esonera il titolare dall’osservanza dei principi stabiliti dall’art. 5 (es. il
trattamento la raccolta di dati eccedenti-principio di minimizzazione)
Richiama art. 7 direttiva 95/46 Il consenso è requisito espressivo
dell’autodeterminazione informativa; per tutte le altre basi giuridiche diverse dal consenso occorre una valutazioni in termini
di necessità rispetto all’interesse di volta in volta selezionato
9
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione
che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in
particolare se l'interessato è un minore
Le condizioni di liceità quali presupposti di legittimazione del trattamento
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui
è investito il titolare del trattamento;
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una
o più specifiche finalità̀
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o
all'esecuzione di misure precontrattuali adottate su richiesta dello stesso
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento
Per le particolari categorie di dati personali le condizioni di liceità si integrano anche con le ulteriori condizioni previste dagli artt. 9 e 10
Art. 6
Le condizioni di liceità quali presupposti di legittimazione del trattamento
• Prima di iniziare un trattamento il Titolare deve sempre valutare la base giuridica di liceità del trattamento e comprovare di rispettarne le condizioni
• Essenziale il ruolo dell’RPD (art. 39 lett. a) ) che:
• deve guidare il titolare in tutte le fasi del trattamento preliminarmente la domanda che deve porsi è: «il trattamento è lecito?» e verificare se ricorre uno dei presupposti di cui all’art. 6, artt. 9 e 10(e diposizioni nazionali più specifiche)
• Qui entra in gioco anche la competenza che l’RPD deve avere:
• C 97: deve avere conoscenza specialistica della normativa privacy e delle discipline nazionali di maggior dettaglio e maggior tutela che si fondano sulle disposizioni flessibili del Regolamento)
Essenziale la compilazione del registro dei trattamenti art. 30 lett.a) in cui è auspicabile l’indicazione della base giuridica del trattamento
Il trattamento iniziato in assenza di uno dei presupposti di liceità determina un trattamento illecito (provvedimenti correttivi art. 58, par. 2 e sanzioni amministrative pecuniarie art 83,par.5, lett. a) RGPD e art.166 comma 2 Codice; v. pure art. 2-decies
inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (salvo 160 bis)
Cfr. parte II, par.2.5 pp-109-110 Parte III spec. p.129, Manuale RPD
11
Il Consenso (art. 6, par. 1 lett. a)
«Il trattamento è lecito se l’interessato ha espresso il consenso al trattamento dei propri dati per una o più specifiche finalità»
CONSENSO «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4 punto 11)
E’ una manifestazione di volontà dell’interessato che deve avere la capacità giuridica (nel nostro ordinamento anche capacità di agire) per esprimerla/capacità di disporre
È lo strumento che fornisce all’interessato il controllo sui propri dati personali È una decisione sempre revocabile
C 32 RGPD
Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- adottate il 28.11.2017 e modificate il 10.4.2018 - Guidelines on consent under Regulation 2016/679, WP259 rev.01
Le caratteristiche del consenso (art. 6, par. 1 lett. a)
Inequivocabile – unambiguous (C.32 «atto positivo inequivocabile»)
• dichiarazione (scritta, orale, anche attraverso mezzi elettronici- registrata) -solo per dati sensibili deve essere «esplicito»-anche essere implicito :qualsiasi altro comportamento che indichi chiaramente che in quel contesto l’interessato accetta il trattamento
• Se desunto dalle circostanze, non deve sussistere alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso (es. il silenzio/l'inerzia non possono costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate; o caselle di rinuncia opt-ou:t art. 7, par.2 Reg.)
• chiara azione positiva (come spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato).
Libero-assenza di condizionamenti nella formazione della volontà
Il consenso deve essere dato liberamente, l'interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni , né deve subire conseguenze negative a seguito del mancato conferimento del consenso (C. 42)
Si presume non libero se non è possibile esprimere consenso separato e distinto per diversi trattamenti o se c’è squilibrio tra le parti(C.43)
Art. 7 par. 4 del Reg. “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”.
Specifico
• Il consenso deve essere specifico, trattamenti multipli per più finalità :ciascuna manifestazione di volontà riferirsi ad un trattamento determinato (relativo alla finalità per la quale è eseguito quel trattamento
(granularità del consenso). Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (C. 32)
• Consenso specifico è associata alla nozione di limitazione delle finalità /compatibilità del fine (art. 5,par.
1,lett.b)per evitare il function creep (ampliamento progressivo o la commistione di finalità-utilizzo non previsto, perdita del controllo
• Si presume non libero se non può esprimere consenso separato per distinti trattamenti (considerando 43)
• i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche del trattamento occorre richiedere
un nuovo consenso 13
Le caratteristiche del consenso (art. 6, par. 1 lett. a)
Informato
• l'interessato deve conoscere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge cfr. principio di trasparenza
• l'interessato deve essere opportunamente informato sulle conseguenze del suo consenso (ad esempio deve essere indicato che in assenza di consenso non potrà accedere a determinate sezioni del sito web).
• Prima del consenso deve essere data l’informativa che è condizione di legittimità del trattamento.
• Il consenso è valido se informato; il Regolamento introduce un concetto di validità sostanziale del consenso, per cui l'aspetto informativo è essenziale, richiedendo un linguaggio semplice e chiaro, comprensibile e
distinguibile dalle altre questioni (art.7 par.2)
Verificabile/Dimostrabile
Accountability-onere della prova (art. 7,par.1 Reg.)
Consenso verificabile non vuol dire che deve essere documentato per iscritto, né che è richiesta la forma scritta (in alcune ipotesi -es. dati di cui all’art. 9 o 22, 49 del Reg. richiede CONSENSO ESPLICITO – esplicito non vuol dire scritto), ma che il titolare deve essere in grado di dimostrare che il consenso è valido e l'interessato lo ha manifestato con riferimento a quello specifico trattamento (C.42 ).
• In ogni caso il consenso deve essere acquisito PRIMA dell’inizio del trattamento (arg.. Ex art. 6 «ha espresso» e C 40 «prima che abbia luogo il trattamento»
Revocabile
• Il consenso deve essere revocabile in qualsiasi momento, «senza pregiudizio» (cons.42)
• La revoca deve essere agevole così come lo è dare il consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi (ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l'obbligo di terminare il trattamento), a meno che non sussista una differente base giuridica per continuare il trattamento.
Per revocare il consenso, quindi, il titolare dovrebbe predisporre una procedura analoga a quella offerta per concedere il consenso.
Il consenso (art. 6, par. 1 lett. a)
Squilibrio di potere nella relazione titolare-interessato il consenso non dovrebbe costituire un valido presupposto di liceità «qualora esista un evidente squilibrio tra l’interessato e il titolare […] in quanto ciò rende improbabile che il consenso sia stato espresso
liberamente» (C. 43)
1. Se il titolare è un’autorità pubblica più appropriate di regola altre basi legittime (art. 6 lett.c) ed e)
(es. i controlli fiscali; servizi previdenziali) Nella relazione tra Autorità pubblica e interessato, questo non dispone spesso di alternative realistiche all’accettazione dei termini del trattamento.
Il cittadino non ha il potere di intervenire con una propria manifestazione di volontà per acconsentire o negare il trattamento dei propri dati da parte della p.a. ma ciò non determina un abbassamento del livello di tutela
Le basi giuridiche sono art. 6 lett.c ed e : l’importanza del particolare regime per i trattamenti in ambito pubblico presuppone norme generali ed astratte a garanzia della prevedibilità, imparzialità e omogeneità dei comportamenti delle p.a, limitandone il margine di discrezionalità nel rispetto dei diritti fondamentali e dir.
protezione dei dati
15
Il consenso (art. 6, par. 1 lett. a)
2. In ambito rapporti di lavoro il consenso è criterio di legittimazione residuale
(cfr Parere Gruppo Art.29, n.2/2017- WP 249, Opinion on data processing at work, pagg. 7 e 26, ma già Opinion 8/2001 - WP48 sul trattamento dei dati personali nel contesto lavorativo; Commissione Europea, comunicazione 6.11.2015, COM(2015)566, pag.12); Raccomandazione del 1 aprile 2015, CM/Rec(2015)5
Data la dipendenza, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto.
È improbabile che il dipendente sia in grado di esercitare liberamente il consenso rispetto ad una richiesta del datore di lavoro, ad esempio, di attivare sistemi di monitoraggio (es. videosorveglianza sul posto di lavoro) o alla sottoposizione a procedure di valutazione (previste da leggi e specificate nella contrattazione collettiva).
Accertamento caso per caso effettiva libertà in concreto (esempio riprese per pubblicizzare l’attività del titolare con immagini degli uffici dello stabilimento ove lavorano i dipendenti…)
Il datore di lavoro deve essere in grado di comprovare che il consenso sia stato acquisito senza coercizione o conseguenze negative (es. provv. disciplinare) o condizionamenti/pressioni
La tutela specifica dell’interessato nel contesto occupazionale è alla base della necessità di deroghe e clausole flessibili e maggiori garanzie (art. 88 C. 155- titolo IX)
Il consenso del minore (C.38 e art. 8)
Manifestazione di volontà dell’interessato che deve essere dotato di capacità giuridica e di disporre
Specifica protezione
Il minore può essere meno consapevole dei rischi, delle conseguenze e dei suoi diritti in relazione al trattamento (C.38)
• Offerta diretta di servizi della società dell'informazione ai minori
• Consenso deve essere rilasciato dal minore, se ha almeno 16 anni
• titolare della responsabilità̀ genitoriale se il minore ha un'età inferiore ai 16 anni
Ciò non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione della volontà o l'efficacia di un contratto rispetto a un minore
• Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni
art. 2-quinquies del Codice consenso del minore validamente prestato se ha almeno 14 anni CONSENSO DIGITALE
in tale ambito il titolare del trattamento redige le informazioni e le comunicazioni relative al trattamento con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato
(Altri Paesi :14 anni (Austria e Lituania), 15 anni (Repubblica Ceca, Slovenia, Francia) o 13 anni (Spagna, Svezia, Inghilterra, Danimarca, Estonia, Lettonia, Finlandia e Portogallo).
17
La disciplina di maggior tutela dei minori si applica quando:
1. Il trattamento è correlato all’offerta ai minori dei servizi della società dell’informazione (servizi on line dietro retribuzione a distanza per via elettronica – Direttiva EU 2015/1535 – Corte di Giustizia C108/09 «Contratti e Servizi conclusi e trasmessi on line, C434/15, in caso di servizi complessi, se la componente principale non è un servizio fruibile on line (es. trasporto), non è un servizio della società dell’informazione
2. Il trattamento deve trovare la propria base giuridica nel consenso (se il titolare chiarisce nella informativa che il servizio è offerto a persone ultra 18 anni, non trova applicazione l’art. 8)
Obbligo del titolare del trattamento di verificare con ogni mezzo ragionevole ed in considerazione delle tecnologie disponibili
che il consenso sia prestato o autorizzato dal titolare della responsabilità̀ genitoriale sul
minore
Il Contratto (art. 6, par. 1 lett. b)
Il trattamento è necessario
alla esecuzione di un contratto o
di misure precontrattual
i
di cui l’interessato è
parte
• Se il trattamento è effettuato dal Titolare per dare esecuzione:
alle obbligazioni contrattuali di cui è parte l’interessato ovvero
di misure precontrattuali adottate su richiesta dell’interessato il trattamento è lecito
• Il Contratto quale presupposto di legittimità è in continuità alla previgente normativa (art. 7 lett. b della Direttiva 95/46/CE e dell’art. 24, comma 1 lett.b) del Codice,
Wp 217 art.29 Opinion 6/2014
«necessario» va interpretato in maniera rigorosa: è necessario un collegamento diretto ed obiettivo, un nesso funzionale tra il trattamento dei dati e la finalità di esecuzione del contratto
Non può essere subordinata la conclusione di un contratto alla richiesta di consenso per un trattamento di dati personali non necessario (arg. art. 7 par.4)
19
Il Consenso e il Contratto alcuni parallelismi
Sono due basi legittime del trattamento ma non vanno rese indistinte.
In entrambe i casi il trattamento si basa su una manifestazioni di volontà dell’interessato
• Nella lettera a) l’oggetto del consenso è il trattamento
• Nella lettera b) l’oggetto del consenso non è il trattamento in via diretta ma è l’accordo negoziale tra le parti, la prestazione dedotta in contratto (il trattamento deve essere una componente strutturale del contratto ed è legittimo solo se è necessario ad eseguire il contratto stesso).
• Non basta la volontà validamente espressa dall’interessato alla conclusione dell’accordo cui trattamento è strumentale perché questo sia lecito (ciò rende valido il contratto secondo le disposizioni civilistiche)ma occorre una valutazione in termini di necessità del trattamento che sarà lecito nella misura in cui sia strettamente necessario all’esecuzione del contratto o della misura precontrattuale- collegamento diretto
• Solo dati del contraente, non di terzi
• Quando il trattamento investe dati che sono effettivamente necessari per l’esecuzione di un contratto il consenso non è la base legittima appropriata (es. coordinate bancarie per accredito stipendio; dati di recapito per consegna merce acquistata on line)
Il trattamento è necessario per la salvaguardia di un interesse vitale dell’interessato o di altra persona fisica (art. 6, par. 1, lett. d)
Il trattamento
è necessario ai fini di salvaguardia
di interessi vitali dell’interessat
o o di terzi
Continuità con la Direttiva (art. 7, lett.d) interesse vitale del solo interessato) e con il Codice previgente (art. 24 lett. e) anche l’incolumità fisica delle persone fisiche
Art. 9 , par. 2 lett. c) Regolamento tutela rafforzata in caso di dati particolari
Esprime il bilanciamento tra diritto alla protezione dei dati il diritto alla vita e all’integrità fisica dell’interessato e dei terzi, sempre che ciò sia necessario a tale scopo Il diritto di protezione dei dati può essere limitato se trattamento necessario per la salvaguardia di un altro bene giuridico di primaria rilevanza costituzionale
(WP 217 opinion 6/2014 E’ un il presupposto di liceità del trattamento residuale: tutti i casi in cui il trattamento non può fondarsi su altra base giuridica, per compensare la scarsa tassatività e impossibilità di tipizzare ex ante la fattispecie «interesse vitale» è nozione più ampia di vita/esistenza in senso stretto(può ricomprender la salute, incolumità fisica-possibile interferenza con altre basi giuridiche-cumulabili, es. art. 6, par.1 lett.e), fini umanitari, controllo di epidemie; C.46 «esigenza di proteggere un interesse essenziale per la vita della persona»
21
Trattamenti basati su legittimo interesse del titolare o terzi (art. 6, par. 1, lett. f)
Il trattamento è necessario
per il perseguimento
del legittimo interesse
del titolare del trattamento o
di terzi
necessario bilanciamento
rispetto a interessi o diritti
e libertà dell’interessato
(se minore)
(C. 47). Può costituire la base giuridica del trattamento dei dati purché non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato (in special modo se questi è un minore) tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento; «posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare dati personali […C47] non si applica «alle autorità pubbliche nell’esecuzione dei loro compiti» (art. 6 lett f).
La normativa previgente imponeva al titolare di richiedere un’autorizzazione al Garante (art. 24, lett. g) Codice e applicazioni spesso nell’ambito delle cd verifiche preliminari art. 17 del Codice: casistica, es., in materia di impiego di nuove tecnologie in ambito lavorativo; provvedimenti anche a carattere generale quali linee guida posta elettronica internet; geolocalizzazione veicoli aziendali, ma anche decisioni su singoli casi, smartphone); adesso è una valutazione rimessa al titolare (principio di responsabilizzazione)
• C.48 (es. comunicazioni infragruppo a fini amministrativi, relativi a clienti/dipendenti)
• C49 (es. sicurezza delle reti informatiche; la resilienza del sistema a eventi imprevisti o illeciti che compromettano integrità sicurezza, riservatezza dati; anche misure atte ad impedire accessi non autorizzati a reti di comunicazione elettronica)
22
Il trattamento è necessario
adempiere ad per un obbligo
legale
al quale è soggetto il titolare del trattamento
datore di lavoro comunica dati degli stipendi alle
autorità tributarie o previdenziali Obblighi in materia di
sicurezza sul lavoro
enti finanziari comunicazioni obbligatorie in base alla disciplina antiriciclaggio
medico di pronto soccorso obbligo di referto art. 365 c.p. per
reato procedibile d’ufficio(art. 571 c.p.)
comunicazione obbligatoria all’AG
Implementazione da parte degli istituti
scolastici dell’anagrafe nazionale degli studenti per finalità i
vigilanza su adempimento obbligo scolastico
Esempi
23
Il regime particolare per i trattamenti in ambito pubblico
Il trattamento è necessario
adempiere ad per un obbligo
legale
al quale è soggetto il titolare del trattamento
Il trattamento è necessario
per l’esecuzione di un compito di
interesse pubblico o
connesso all’esercizio di pubblici poteri
al quale è soggetto il titolare del trattamento
Nel settore pubblico possono ricorrere
cumulativamente Trasversalità della disciplina di protezione dei
dati
Proprio in tale ambito clausola di flessibilità art.6
par 2 Importanza delle
disposizioni che disciplinano il trattamento
nel settore pubblico che devono contenere il bilanciamento dei valori
perseguiti e interessi tutelati Art. 6,
par. 1 lett. c)
Art. 6, par. 1 lett. e)
all’esercizio dei pubblici poteri (art. 6, par. 1, lett. e, GDPR)
Il trattamento è necessario
l’esecuzione di per un compito di
interesse pubblico connesso all’esercizio di pubblici poteri
di cui è investito il titolare del trattamento
Esempi
Amministrazione finanziaria tratta di dati
reddituali dei cittadini per verificare la correttezza delle imposte versate;
ordine professionale investito di pubblici poteri può avviare
procedimenti disciplinari nei confronti degli iscritti
• È pertinente per il settore pubblico ma può essere invocato anche per trattamenti di soggetti privati (affidamento servizi pubblici a enti privati; trasporti, salute, ricerca ecc.)
• L’interesse pubblico dell’Unione o dello Stato membro
• Diversamente dal presupposto di cui alla lett. c) il titolare non è tenuto ad agire in base ad un obbligo legale
• ambio di applicazione molto vasto: occorre interpretazione restrittiva e individuare caso per caso l’interesse pubblico in gioco e i pubblici poteri che giustificano il trattamento (WP 29 parere 6/2014 sul concetto di legittimo interesse)
• Art. 21 Regolamento diritto di opposizione per i casi in cui il trattamento si basa sul presupposto di cui all’art. 6 lett. e) ed f) salvo che il titolare dimostri «l’esistenza di motivi legittimi cogenti» che prevalgano sui diritti dell’interessato oppure se ricorre l’esigenza di «difesa di un diritto in sede giudiziaria»
25
Nome docente Titolo lezione Data e numero lezione
Trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri (art. 6, par. 1, lett. e), Regolamento)
Trattamento necessario per
«Compito di interesse pubblico»
La natura dell’interesse qualifica l’attività e legittima il trattamento che ne discende indipendentemente dalla natura del soggetto (soggetto pubblico e privato)- continuità con la direttiva 95/46 Ce
C 45 Spetta alle norme dell’Unione o dello Stato stabilire i casi e i modi in cui un compito di interesse pubblico o l’esercizio di pubblici poteri può essere svolto da un’autorità pubblica –persona giuridica di diritto pubblico-soggetto privato, in qualità di titolare del trattamento nel rispetto del principio di proporzionalità («necessario» al fine legittimo perseguito)
Il sindacato della Corte di Giustizia UE sulla legittimità del trattamento fondato su tale base giuridica: Sent.
9.03.2017, C-398/15«salvare, in una banca dati, dati che le società devono comunicare in base ad obblighi di legge […] esercizio di pubblici poteri […] e costituisce parimenti un compito di interesse pubblico»; Sent. 27.9.2017, C- 73/16 trattamento ai fini della riscossione delle imposte e della lotta alla frode fiscale purché la normativa nazionale abbia affidato a tali autorità il relativo compito (norma attributiva del potere «ai sensi di detta disposizione»-caratteristiche della base giuridica) e che le operazioni (iscrizione in una lista di nominativi soggetti al procedimento di verifica) «siano effettivamente idonee e necessarie al raggiungimento degli obiettivi perseguiti […] e che siano soddisfatte tutte le condizioni di liceità del trattamento imposte» dalla disciplina di protezione dati.
Art. 52 Carta dei diritti fondamentali dell’Unione
Sentenza Corte. Cost. n.20/2019 (illegittimità costituzionale della norma nazionale sulla pubblicazione on line dei dati patrimoniali di dirigenti art.14 d.lg. n. 33/2013)
L’osservanza della misura legislativa è condizione essenziale di liceità del trattamento il cui mancato rispetto determina ingiustificata interferenza nella vita privata degli interessati
(Corte EDU sent. 28 novembre 2017 (70838/13) Antovic e Mirkovic v. Montenegro ) Provv. Garante 9 maggio 2018 , doc web n. 8998303
«Necessario…»
Ingerenza nella vita privata solo in presenza
di una «pressante esigenza sociale» per
lo Stato
e la «misura adottata sia proporzionata al
legittimo scopo perseguito»(Corte
Europea dei diritti dell’uomo)
l’Autorità che opera un trattamento interferente
con un diritto tutelato dall’ordinamento per conseguire uno scopo
legittimo deve dimostrare che questa rappresenta la «misura
meno restrittiva» per raggiungere lo scopo
limitazioni all’esercizio dei diritti devono essere
previste dalla legge rispettare il contenuto essenziale dei diritti necessarie
e rispondano effettivamente a finalità di interesse generale
Nel rispetto del principio di proporzionalità
27
LE CARATTERISTICHE DELLA BASE GIURIDICA
Diritto dell’Unione o dello Stato Membro
C 45
le caratteristiche che tale base deve avere per essere conforme Il Trattamento deve essere necessario per
adempiere ad un obbligo legale
eseguire un compito di interesse pubblico esercitare pubblici poteri di cui è investito il titolare
L’obbligo i compiti e i poteri devono essere attribuiti da…
Cfr. parte II, par.2 manuale RPD, spec.pp.78-83
c.45 Non è necessario che vi sia un atto legislativo per ogni singolo trattamento
• continuità rispetto alla Direttiva e al Codice
• Si determina il necessario collegamento tra la disciplina sulla protezione dei dati e normative di settore di ciascuno stato membro (art. 6, par. 3)
• La base giuridica o la misura legislativa devono essere chiare, precise e prevedibili
• Certezza del diritto: requisiti funzionali a rendere edotto l’interessato del trattamento che la legge autorizza a compiere con i suoi dati
e deve definire - finalità
- condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento
- le tipologie di dati oggetto del trattamento
- gli interessati e i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati
- le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure di garanzia
- Il Diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo perseguito
- RISERVA RAFFORZATA SOSTANZIALE Art. 6, par.3
proporzionata
Sulla valutazione in termini di proporzionalità del trattamento rispetto all’obiettivo legittimo perseguito: Provv.
15.11.2018, n. 481, doc web 9059949 (sull’obbligo di fatturazione elettronica; «trattamento obbligatorio, generalizzato e di dettaglio di dati personali anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ogni aspetto della vita quotidiana della totalità della popolazione […]» )
C 41 e C 45
29
LE CARATTERISTICHE DELLA BASE GIURIDICA
Art. 9, par.2 lett.g) Regolamento
Se il compito di interesse pubblico concerne categorie particolari di dati
Motivi di interesse pubblico rilevante solo se previsto da legge o nei casi previsti dalla legge di regolamento che individuano (art.2 sexies Codice):
Tipi di dati trattati
operazioni eseguibili e il motivo di interesse pubblico rilevante
misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Sulla base del diritto dell’Unione o dello Stato membro che deve
essere proporzionato alla finalità perseguita
rispettare l’essenza del diritto alla protezione dati
prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (C.55 e C56)
Per i trattamenti effettuati sulla base dell’art. 6 lett c) ed e) l’Autorità di controllo è sempre il Garante (art. 55 del Regolamento) non trova applicazione la competenza dell’autorità capofila per i trattamenti transfrontalieri.
Poteri consultivi (anche per atti di normazione primaria) e autorizzativi (art. 36, par. 4 e art. 58, par. 3)
L’Autorità nell’esercizio dei propri compiti consultivi effettua un controllo sulla misura legislativa e può segnalare al legislatore nazionale in sede di normazione primaria o ai soggetti pubblici che intervengono con norme di attuazione, criticità o suggerire misure appropriate a garanzia dei diritti e delle libertà degli interessati
31
Competenza dell’Autorità sui trattamenti in ambito pubblico
Nel contesto pubblico si aggiunge il controllo preventivo dell’Autorità
Art. 36 par. 5
Autorizzazione preliminare per compiti di interesse pubblico
Il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di
controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di
un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla
protezione sociale e alla sanità pubblica.
(cfr. anche 58, par. 3 lett.c)
2-quinquesdecies Codice
Per trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentino rischi elevati (art.35,par.1
Reg) può prescrivere al titolare misure e accorgimenti a garanzia dell’interessato (anche con provvedimenti di
carattere generale d’ufficio) es. Provv. 4.10.2018, n. 459
doc web n. 9047672 (Istat censimento permanente)
CLAUSOLA DI FLESSIBILITA’
Art. 6 par. 2, RGPD
Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del RGPD con riguardo al trattamento, in conformità dell’art. 6, paragrafo 1, lettere c) (adempimento di obbligo legale) ed e) (compito di interesse pubblico o esercizio di pubblici poteri), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
Il d.lgs. n. 101/2018
Ha operato delle scelte specifiche con riguardo alle basi giuridiche del trattamento nel settore pubblico
Per dati «comuni» (art.6 Regolamento + 2 ter Codice)
Per categorie particolari di dati (art. 9 Regolamento) e dati relative a condanne penali e reati (art.10 Regolamento)
2 sexies 2 septies
2 octies
33
art. 2 ter del Codice
Caratteristiche della base giuridica
(art. 2-ter del Codice integra il contenuto precettivo dell’art. 6 par. 3 lett.b – base giuridica per il trattamento dei dati personali effettuato per l’adempimento di un obbligo di legge e per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri; art.6 par. 1 lett. c) ed e) Reg.)
Base giuridica
Legge
O, nei casi previsti dalla legge,
Regolamento
Esclusivamente
Gli Stati membri, nella cornice del Regolamento, possono determinare con maggiore precisione le condizioni alle quali il trattamento di dati personali comuni è lecito
norma di
34 Audizione Garante europeo EDPS
cfr. Senato della Repubblica-dossier
«L’adeguamento della disciplina di protezione dei dati personali al
Regolamento UE2016/679.Le posizioni degli auditi», 18 giugno 2018,
Focus su art. 2 ter) del Codice
Art. 2-ter comma 4, del
Codice
COMUNICAZIONE
dare conoscenza dei dati personali a uno o
più soggetti determinati diversi da l'interessato, rappresentante del titolare nell’UE, responsabile (o suo rappresentate) o persone autorizzate,
ai sensi dell’art. 2-qauterdecies […]
in qualunque forma, anche
mediante la loro messa a disposizione, consultazione o mediante interconnessione
DIFFUSIONE
il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Per i dati sulla salute, biometrici e genetici è vietata
(art. 2-septies, comma 8 del Codice)
35
Linee guida sul trattamento per finalità di pubblicità e trasparenza sul web provv.15.5.2014-doc web
3134436)
Focus su art. 2 ter) del Codice
Comunicazione tra titolari per compiti
di interesse pubblico diversi da
quelli particolari e giudiziari è ammessa
norma di legge o, nei casi previsti dalla legge, di regolamento
Ipotesi residuale (evoca precedente formulazione artt. 19 e 39 Codice solo tra sogg. pubblici).
In mancanza dì tale norma, la comunicazione può essere iniziata se
«necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali»,
comunicazione al Garante, -senza diversa determinazione
decorso il termine di 45 giorni
Il Garante può individuare misure a garanzia degli interessati.
Uno dei primi casi
Comunicazione di dati personali degli infermieri all'ordine professionale da parte di aziende sanitarie - 16 gennaio 2019
[9084551]
Newsletter n. 450 del 25 febbraio 2019
Art. 2-ter comma 2, del
Codice
Focus su art. 2 ter) del Codice
Diffusione e comunicazione a
soggetti che intendono trattarle
per altre finalità è ammessa
norma di legge o, nei casi previsti dalla legge, di regolamento
Art. 2-ter comma 3, del
Codice
37
Codici deontologici vigenti alla data di entrata in vigore del d. lgs. n. 101/2018 (art. 20 del d.lgs. 101/2018)
Adottati ai sensi dell’art. 12 codice (previgente)
continuano a produrre effetti, sino alla definizione di specifica procedura :
a) entro sei mesi dalla data di entrata in vigore del d.lgs. 101/2018, le associazioni e gli altri organismi rappresentanti le categorie interessate, devono sottoporre all'approvazione del Garante, i codici di condotta elaborati conformemente all’art. 40 RGPD e delle Guidelines 1/2019 EDPB, On Codes of Conduct and Monitoring Bodies under Regulation 2016/679
b) la procedura di approvazione si concluda entro sei mesi dalla sottoposizione del codice di condotta all'esame del Garante per la protezione dei dati personali
• Il mancato rispetto di uno dei termini di cui alle lettere a) e b) comporta la cessazione di efficacia delle disposizioni dei codice di deontologia citati a decorrere dalla scadenza del termine violato
Sistemi di informazioni creditizie Informazioni commerciali
Regole deontologiche (art. 2- quater del Codice privacy)
• Il Garante promuove l'adozione di regole deontologiche per i trattamenti necessari per:
• adempiere un obbligo di legge
• l’esecuzione di un compito di interesse pubblico o esercizio di pubblici poteri
• di dati biometrici, genetici e sulla salute e relativi al capo IX del regolamento (rinvio all’art. 6, par.2, Reg.)
• ne verifica la conformità alle disposizioni vigenti, esaminando le osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto
• Lo schema di regole deontologiche è sottoposto a consultazione pubblica per 60 giorni
• Conclusa la fase delle consultazioni, le regole deontologiche sono approvate dal Garante e pubblicate nella Gazzetta Ufficiale e sono riportate nell'allegato A) del Codice
Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali (già art. 12 comma 3 Codice previgente)
Art. 166, comma 2 codice: violazione delle regole deontologiche
Comunicato stampa del Garante del 24 dicembre 2018
«Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.
La verifica - demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue - oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.
Le disposizioni ritenute conformi, ridenominate “regole deontologiche” integreranno, in base al decreto legislativo 101/2018, le condizioni di liceità e correttezza dei trattamenti per scopi statistici e scientifici, per quelli a fini statistici e di ricerca scientifica nell’ambito del SISTAN, per quelli a fini di archiviazione nel pubblico interesse o di ricerca storica e per quelli effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria»
39
Ambiti delle regole deontologiche approvate dal Garante
Disposizioni relative a specifiche situazioni di trattamento (capo IX) -
Con provvedimento del Garante n. 491 del 29 novembre 2018 (doc. web 9067692) regole deontologiche di cui Art. 85 RGPD - Libertà d'espressione e d'informazione: artt. 136 -139 del Codice
Con provvedimenti del Garante nn. 513, 514 e 515 del 19 dicembre 2018 (docc. web 9069661, 9069677, 9069637) regole deontologiche Art. 89 RGPD - Archiviazione nel pubblico interesse, ricerca scientifica, storica e a fini statistici: artt. 97-110-bis del Codice
- Art. 86 GDPR - Accesso del pubblico a documenti ufficiali - Art. 87 GDPR - Numero di identificazione nazionale
- Art. 88 GDPR - Rapporti di lavoro: gli Stati membri possono prevedere con legge o tramite contratti collettivi disposizioni più specifiche per assicurare la protezione dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro:. Artt. 111 – 116 del Codice
- Art. 90 GDPR - Obblighi segretezza
- Art. 91 GDPR - Chiese e associazioni religiose
Titolo slide Arial 18 grassetto
41
