Fondamenti di liceità del trattamento del GDPR

Il GDPR è conosciuto come il regolamento che attua la protezione dei dati personali, è sicuramente un testo aggiornato anche rispetto agli avvenuti cambiamenti della società moderna, la quale man mano è entrata in un’ottica di sempre maggior digitalizzazione delle interazioni sociali.  Invero, tale codice della privacy in materia di diffusione dei dati personali è stato voluto fortemente da tutti gli Stati Membri dell’Unione Europea, e costituirà pietra angolare nell’ambito del diritto alla cancellazione dei dati personali e diritto alla deindicizzazione dei risultati di ricerca.  Dall’entrata in vigore del testo, avvenuta in Italia il 25 maggio 2018, tutti gli attori coinvolti, tra cui liberi professionisti, aziende, pubbliche amministrazioni, dovranno allinearsi ed adeguarsi alla nuova normativa.

La guida qui esplicata intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici devono tenere presenti nell’applicazione del Regolamento.

Liceità del trattamento

Proprio il GDPR assume come fondamentali per la liceità del trattamento gli indicatori ai sensi dell’art. 6 dello stesso che coincidono con quelli previsti attualmente dal Codice privacy – cioè il d.lgs. 196/2003, inteso come “consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati” e così via.

Il cambiamento principale

Per i dati “sensibili” il consenso al trattamento dei dati personali oggi deve essere esplicito e quindi in forma espressa e non tacita, c.d. silenzio assenso. Invero, anche per quanto riguarda il consenso a delle decisioni basate su trattamenti automatizzati, come ad esempio la c.d. profilazione ai sensi dell’art. 22 del GDPR deve basarsi sui medesimi criteri.

Altra novità, dice il GDPR, in punto di trattamento è quella che non è più necessario che lo stesso debba essere documentato per iscritto, né che venga richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’univocità del consenso e il suo essere espresso per i dati sensibili Ancora, il titolare deve poter essere in grado di provare che il soggetto interessato abbia prestato validamente il proprio consenso a uno specifico trattamento e non generalizzato.

Il consenso dei minori

I minori sono particolarmente vulnerabili, e questo lo dimostrano tante convenzioni e Trattati Europei per i quali il minore viene assunto come c.d. soggetto debole. Anche in tema di protezione dei dati il consenso che deve prestare il minore è leggermente diverso rispetto a quello di un adulto. Invero, detto consenso dei minori è valido a partire dai 16 anni, il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale; prima di questa età è necessario che venga raccolto il consenso dei genitori o di chi ne fa le veci.

Le raccomandazioni

È chiaro come il GDPR voglia distingue il trattamento del consenso da altre richieste o dichiarazioni rivolte all’interessato, come quelle ai sensi dell’art. 7.2. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile per chiunque, semplice, chiara e soprattutto.