EntiOnLine
Categorie
indietro
06/02/2018 Interesse legittimo: rapporto con i trattamenti riguardanti talune categorie particolari di dati personali

Interesse legittimo:rapporto con i trattamenti riguardanti talune categorie particolari di dati personali

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

III.1.2. Relazione con l’articolo 8

L’articolo 8 della direttiva disciplina ulteriormente i trattamenti riguardanti talune categorie particolari di dati personali. Nello specifico, si applica ai dati “che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale” (articolo 8, paragrafo 1)), e ai dati “relativi alle infrazioni o alle condanne penali” (articolo 8, paragrafo 5)).

In linea di principio, il trattamento di tali dati è vietato, fatte salve alcune eccezioni. L’articolo 8, paragrafo 2, prevede una serie di casi in cui non si applica tale divieto, alle lettere da a) a e).

L’articolo 8, paragrafi 3 e 4, prevede ulteriori eccezioni. Alcune di queste disposizioni sono simili, ma non identiche, a quelle enunciate all’articolo 7, lettere da a) a f). Le specifiche condizioni fissate dall’articolo 8, oltre al fatto che alcuni dei criteri elencati all’articolo 7 sono simili alle condizioni enunciate all’articolo 8, sollevano la questione della relazione esistente tra le due disposizioni. Se è concepito come lex specialis, occorre valutare se l’articolo 8 escluda completamente l’applicabilità dell’articolo 7. In tal caso significherebbe che si possono trattare categorie particolari di dati senza rispettare l’articolo 7, purché si applichi una delle eccezioni di cui all’articolo 8. Tuttavia, è anche possibile che la relazione sia più complessa e che gli articoli 7 e 8 debbano essere applicati cumulativamente30 .

In ogni caso, è evidente che l’obiettivo politico è prevedere una protezione aggiuntiva per categorie particolari di dati. Di conseguenza, l’esito finale dell’analisi deve essere altrettanto chiaro: l’applicazione dell’articolo 8, di per sé o in maniera cumulativa con l’articolo 7, è volta a fornire un livello di protezione maggiore per categorie particolari di dati. In pratica, benché in alcuni casi l’articolo 8 preveda obblighi più rigorosi (quali il consenso “esplicito” di cui all’articolo 8, paragrafo 2, lettera a), anziché il “consenso inequivocabile” di cui all’articolo 7), questa affermazione non è valida per tutte le disposizioni. Alcune deroghe previste dall’articolo 8 non sembrano equivalenti o più rigorose rispetto ai criteri elencati all’articolo 7.

Sarebbe inappropriato concludere per esempio che il fatto che qualcuno abbia reso alcune categorie particolari di dati manifestamente pubbliche ai sensi dell’articolo 8, paragrafo 2, lettera e), sia (sempre in sé e per sé) una condizione sufficiente a consentire qualunque tipo di trattamento dei dati, senza effettuare un test comparativo degli interessi e dei diritti in gioco in conformità dell’articolo 7, lettera f)31 . In alcune situazioni, il fatto che il responsabile del trattamento dei dati sia un partito politico revocherebbe inoltre il divieto di trattare categorie particolari di dati ai sensi dell’articolo 8, paragrafo 2, lettera d). Tuttavia, ciò non significa che qualsiasi trattamento effettuato nel campo di applicazione di tale disposizione sia necessariamente legittimo. Occorre valutare separatamente questa disposizione e il responsabile del trattamento potrebbe dover dimostrare, per esempio, che il trattamento dei dati è necessario all’esecuzione di un contratto (articolo 7, lettera b)) o che prevale il suo interesse legittimo ai sensi dell’articolo 7, lettera f). In quest’ultimo caso è necessario effettuare il test comparativo di cui all’articolo 7, lettera f), dopo aver valutato che il responsabile del trattamento dei dati rispetta gli obblighi sanciti dall’articolo 8. Analogamente, il semplice fatto che il “trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura” e che tali dati sono trattati nel rispetto dell’obbligo del segreto (requisiti citati tutti all’articolo 8, paragrafo 3) implica che tale trattamento di dati sensibili è esentato dal divieto di cui all’articolo 8, paragrafo 1. Tuttavia, ciò non è necessariamente sufficiente a garantire anche la legittimità ai sensi dell’articolo 7 e richiederà un criterio di liceità quale l’esecuzione di un contratto con il paziente ai sensi dell’articolo 7, lettera b), l’adempimento di un obbligo legale ai sensi dell’articolo 7, lettera c), l’esecuzione di un compito di interesse pubblico ai sensi dell’articolo 7, lettera e), o un test comparativo ai sensi dell’articolo 7, lettera f). In conclusione, il Gruppo di lavoro ritiene che debba essere effettuata un’analisi caso per caso valutando se l’articolo 8 preveda di per sé condizioni più rigorose e sufficienti32 o se sia necessaria un’applicazione cumulativa degli articoli 8 e 7 al fine di garantire la piena protezione degli interessati. In nessun caso l’esito dell’esame deve comportare una minore protezione per categorie particolari di dati33 . Questo significa anche che, per legittimare un’attività di trattamento dei dati, un responsabile che tratta categorie particolari di dati non può mai invocare soltanto un fondamento giuridico ai sensi dell’articolo 7. Ove applicabile, l’articolo 7 non prevarrà ma si applicherà sempre in maniera cumulativa con l’articolo 8 al fine di garantire il rispetto di tutte le garanzie e le misure pertinenti. Si tratta di una precisazione ancor più pertinente qualora gli Stati membri decidano di stabilire ulteriori deroghe oltre a quelle previste dall’articolo 8, conformemente a quanto previsto dall’articolo 8, paragrafo 4.

______________

30 Poiché l’articolo 8 è istituito come un divieto con deroghe, tali deroghe possono essere considerate come obblighi che limitano soltanto il campo di applicazione del divieto senza però fornire, in sé e per sé, una base giuridica sufficiente per il trattamento. Secondo questa interpretazione, l’applicabilità delle deroghe di cui all’articolo 8 non esclude l’applicabilità degli obblighi previsti dall’articolo 7 e, se del caso, i due articoli devono essere applicati cumulativamente.

31 Inoltre, l’articolo 8, paragrafo 2, lettera e), non deve essere interpretato a contrario nel senso che, quando i dati resi pubblici dall’interessato non sono sensibili, possono essere trattati senza alcuna condizione aggiuntiva. I dati disponibili al pubblico sono comunque dati personali soggetti ai requisiti di tutela dei dati, compreso il rispetto dell’articolo 7, indipendentemente dal fatto che siano o meno dati sensibili.

32 Cfr. l’analisi effettuata al punto 3.3 del parere del Gruppo di lavoro concernente lo standard internazionale dell’Agenzia Mondiale Antidoping (WADA), che prende in considerazione sia l’articolo 7 che l’articolo 8 della direttiva: “Secondo parere 4/2009 concernente lo standard internazionale dell’Agenzia Mondiale Antidoping (WADA) per la protezione della privacy e dei dati personali, le disposizioni pertinenti del codice WADA e le altre questioni inerenti la vita privata nell’ambito della lotta contro il doping nello sport da parte della WADA e di altre organizzazioni (nazionali) antidoping”, adottato il 6 aprile 2009 (WP 162).

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati