Vuoi ricevere i nostri aggiornamenti?
Come vanno indicate le basi giuridiche nell’informativa privacy?
Trascorsi 5 anni dalla piena operatività del Regolamento UE 2016/679, sono ancora frequenti le violazioni, e le conseguenti sanzioni, anche su aspetti basilari come le caratteristiche che deve rispettare l’informativa e l’individuazione e indicazione delle corrette basi del trattamento.
La violazione
Non sono rari i casi in cui il Titolare del trattamento viene sanzionato per la violazione dei principi di liceità, correttezza e trasparenza di cui all’art. 5 del GDPR, non avendo fornito agli interessati un’informativa chiara, corretta e trasparente e, ancor prima, per non avere individuato in modo adeguato le basi del trattamento.
Il GDPR ci insegna, infatti, che ogni trattamento di dati personali deve fondarsi su una base giuridica tra quelle individuate dal Regolamento stesso (principio di liceità); gli interessati devono essere informati in merito alla base giuridica individuata.
Come individuare e indicare correttamente la base giuridica?
Il GDPR e ancora di più i provvedimenti delle Autorità Garanti ci forniscono importanti spunti operativi.
Individuare le finalità
Il primo passo è certamente quelle di analizzare e individuare le finalità per cui il Titolare intende trattare dati personali. E’ frequente che i dati raccolti siano trattati per più finalità da parte del medesimo Titolare. Nell’informativa privacy devono essere indicate in modo chiaro tutte le finalità.
Per ciascuna finalità, una specifica base giuridica
Per ciascuna finalità individuata, deve essere indicata nell’informativa la relativa base giuridica tra quelle previste dal GDPR.
Non è possibile ed è stato oggetto di sanzioni indicare nell’informativa più finalità del trattamento e individuare un’unica base giuridica oppure fornire una pluralità di indicazioni tra loro eterogenee e non specificatamente correlate alle finalità perseguite, come ad esempio il richiamo generico all’art. 6, par. 1, lett. a), b), c), d), ed e) del GDPR senza specificare per ciascuna base giuridica a quali trattamenti sia riferita.
In ipotesi di trasferimento di dati a terzi, il Titolare deve indicare per quali finalità e perché il trasferimento è legittimo; indicazioni generiche quali “sviluppo e miglioramento del prodotto” non sono ritenute idonee.
Quanto scritto nell’informativa deve poi essere coerente. Non è possibile, ad esempio, per una struttura sanitaria legittimare il trattamento di dati particolari relativi alla salute dei pazienti per finalità di diagnosi e cura e poi richiedere il consenso al trattamento; in questo caso l’informativa è chiaramente contradditoria e non corretta oltre ad essere sbagliato il richiamo del consenso.
Il consenso
Qualora un determinato trattamento si basi sul consenso, tale circostanza deve essere dichiarata esplicitamente nell’informativa privacy. L’eventuale consenso raccolto senza che nell’informativa sia chiaramente spiegato che i dati saranno trattati in seguito al rilascio del consenso dell’interessato non potrà essere ritenuto come validamente acquisito e di conseguenza i successivi trattamenti di dati saranno da ritenersi illeciti.
Si ricorda che il consenso deve essere libero, univoco e specifico. È stato, ad esempio, oggetto di sanzione il consenso rilasciato con un unico atto dispositivo unitamente all’accettazione delle condizioni d’uso o di contratto di un dispositivo.
In conclusione e in estrema sintesi, il Titolare del trattamento deve svolgere un’analisi accurata delle finalità e delle basi giuridiche che legittimano ciascun trattamento di dati personali e informarne gli interessati con un’informativa privacy chiara e trasparente prima di dare inizio al trattamento stesso.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.