GDPR: l'importanza della base giuridica del trattamento

Categorie

Articoli recenti

Diritto del lavoro e privacy 16 Giugno 2021
Come rendere sicure le comunicazioni aziendali 13 Aprile 2021
Consigli pratici ed operativi in caso di violazione dati 8 Febbraio 2021
Consigli legali pratici per gestire il proprio negozio on line 3 Febbraio 2021
Videosorveglianza: quali novità? 5 Gennaio 2021

Archivi

Base giuridica GDPR: come evitare sanzioni

L’importanza della corretta base legale del trattamento dati in azienda per evitare le sanzioni del Garante Privacy.
Esempi pratici e linee guida per capire come tutelare l’azienda e come costruire un sistema privacy responsabile e con basi solide per evitare sanzioni.

La presente immagine è dell’autore che potrà chiedere di essere indicato oppure di far rimuovere l’immagine.

Osservando i dati forniti dal GDPR Enforcement Tracker, sito che registra ed organizza le sanzioni spiccate dalle Autorità Garanti Europee di tutela dei dati personali, emerge come l’Italia sia stato lo Stato Membro che ha emesso le multe più salate ed il secondo per numero di sanzioni.
Sanzioni che, sotto il profilo più strettamente economico, sono state sia di importi piccoli (1.000,00 euro ad un supermercato) sia molto di ammontare rilevanti (da ricordare il provvedimento contro TIM per oltre 27 milioni)
Lo studio dei dati forniti dal sito è particolarmente significativo poiché fornendo in maniera sintetica le ragioni per le quali sono state emesse le sanzioni permette di ragionare su molti aspetti pratici che riguardano il trattamento dei dati.
Ebbene, proprio da questa analisi emerge come una delle ragioni fondamentali che hanno portato le Autorità (non soltanto quella Italiana) ad emettere i provvedimenti sanzionatori è stata la mancata o non corretta individuazione della base legale del trattamento.
Perché questo dato è importante? Cosa vuol dire essere in grado di individuare la giustificazione giuridica del trattamento?
Conoscere la corretta base legale di trattamento vuol dire costruire l’ossatura fondante di un sistema di gestione privacy che sia in grado di tutelare l’azienda in qualità di titolare.
Sebbene, l’art. 6 del Regolamento (Liceità del trattamento) indichi in modo molto specifico quali siano le basi giuridiche di trattamento (legge, contratto, consenso, interessi vitali, interesse pubblico, interessi legittimi) l’individuazione della soluzione più corretta non è sempre un’operazione lineare, facile ed immediata.
Qualche esempio: nel settore sanitario in molti professionisti e strutture continuano ad indicare il consenso come base legale, quando invece il Garante ha chiarito, con un proprio provvedimento, come ciò non sia, in linea generale, corretto; oppure, nel settore digitale (ecommerce, profilazione, marketing automation) spesso si ricorre semplicemente all’interesse legittimo senza tener conto della reale funzione che assume tale base giuridica (su cui vi sono specifiche linee guida).
Un trattamento di dati svolto su una base giuridica errata, è quindi passibile di sanzione.
Sul punto, d’altra parte, va anche segnalato come le sanzioni che sono state emesse dal Garante Italiano hanno avuto oggetto trattamenti di dati che riguardavano i dipendenti.
Individuare la corretta base giuridica significa, quindi, tutelare l’impresa (si pensi al controllo a distanza, alla videosorveglianza, all’utilizzo dei device mobili, alla selezione del personale, all’utilizzo della bacheca aziendale, ecc.).
Come fare, quindi, per individuare quale sia la giusta base giuridica del trattamento?
È essenziale procedere ad una analisi approfondita di tutti i processi aziendali (intesi proprio nell’accezione ISO come un insieme di attività correlate o interagenti che trasformano un input in un output).
Occorre conoscere nei particolari la propria attività sotto il profilo dei soggetti che la rendono possibile, degli strumenti che questi utilizzano, dei risultati cui le singole attività tendono e, infine, degli obiettivi che devono essere raggiunti.
Soltanto in questo modo, con questo approccio, sarà possibile capire quale sia la base giuridica del trattamento.
Tale indagine è, certamente, un’operazione complessa e articolata, che va eseguita con professionalità e competenza, ma che deve essere necessariamente svolta nel rispetto del principio di accountability.
Il concetto di responsabilizzazione e responsabilità (sintetizzato nel termine accountability), infatti, come più volte sottolineato, ha immediati risvolti concreti: il titolare del trattamento (l’impresa) deve essere in grado di spiegare e giustificare in modo chiaro le ragioni che hanno portato ad un determinato trattamento dei dati.
Conseguentemente, rispettare il principio di accountability significa anche evitare (o comunque minimizzare) eventuali sanzioni da parte dell’Autorità Garante.
È proprio sotto questi aspetti che vorrei segnalare, infine, due importanti linee guida appena emesse agli inizi di settembre dal EDPB (il Garante Europeo) ed attualmente sottoposte a consultazione pubblica: il Targeting degli utenti dei social media; i concetti di titolare, responsabile e contitolare del trattamento.
Tali linee guida infatti forniscono ulteriori approfondimenti sui fondamenti interpretativi dei sistemi GDPR e, indirettamente, sulle basi legali su chi questi devono essere gestiti.