EntiOnLine
Categorie
indietro
06/02/2018 Base giuridica: base giuridica-interesse legittimo-guida rapida allo svolgimento del test comparativo

Base giuridica: Guida rapida allo svolgimento del test comparativo di cui all’articolo 7, lettera f)

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

Allegato 1. Guida rapida allo svolgimento del test comparativo di cui all’articolo 7, lettera f)

Fase 1: valutare quale fondamento giuridico potrebbe potenzialmente essere applicato ai sensi dell’articolo 7, lettere da a) a f)

Il trattamento dei dati può essere effettuato solo qualora sia applicabile uno o più dei sei fondamenti, lettere da a) a f), dell’articolo 7 (è possibile invocare fondamenti differenti in fasi differenti della stessa attività di trattamento). Se, a prima vista, sembra che l’articolo 7, lettera f), potrebbe costituire una base giuridica appropriata, passare alla fase 2. Suggerimenti rapidi: - l’articolo 7, lettera a), si applica solo se è stato fornito un consenso libero, informato, specifico e inequivocabile; il fatto che una persona non si sia opposta a un trattamento ai sensi dell’articolo 14 non va confuso con il consenso di cui all’articolo 7, lettera a); tuttavia, un semplice meccanismo per opporsi a un trattamento potrebbe essere considerato una garanzia importante ai sensi dell’articolo 7, lettera f); - l’articolo 7, lettera b), riguarda il trattamento che è necessario all’esecuzione del contratto; il semplice fatto che il trattamento dei dati sia connesso al contratto, o previsto in qualche punto delle condizioni contrattuali, non significa necessariamente che sia possibile applicare questo fondamento; se del caso, valutare l’opportunità di ricorrere all’articolo 7, lettera f), in alternativa; - l’articolo 7, lettera c), riguarda esclusivamente chiari e specifici obblighi legali ai sensi delle normative dell’UE o di uno Stato membro; in caso di orientamenti non vincolanti (ad esempio di agenzie di regolamentazione) o di un obbligo legale straniero, valutare l’opportunità di ricorrere all’articolo 7, lettera f), in alternativa.

Fase 2: classificare un interesse come “legittimo” o “illegittimo”

Per essere considerato legittimo, un interesse deve soddisfare cumulativamente le seguenti condizioni: - essere lecito (ossia conforme al diritto nazionale e unionale); - essere articolato in maniera sufficientemente chiara da consentire di eseguire il test comparativo valutando l’interesse legittimo del responsabile del trattamento rispetto agli interessi e ai diritti dell’interessato (ossia sufficientemente specifico); - rappresentare un interesse concreto ed effettivo (ossia non deve essere teorico).

Fase 3: stabilire se il trattamento è necessario per il perseguimento dell’interesse

Per soddisfare questo requisito, valutare se esistono altri mezzi meno invasivi per conseguire lo scopo specifico del trattamento e rispondere all’interesse legittimo del responsabile del trattamento dei dati.

Fase 4: definire un bilanciamento provvisorio valutando se gli interessi o i diritti fondamentali degli interessati prevalgono sull’interesse del responsabile del trattamento

- Considerare la natura degli interessi del responsabile del trattamento (diritto fondamentale, altro tipo di interesse, interesse pubblico);

- valutare l’eventuale danno subito dal responsabile del trattamento, dai terzi o dalla collettività in generale qualora non sia effettuato il trattamento dei dati; - tenere conto della natura dei dati (sensibili in senso stretto o in senso più ampio?); - considerare lo status dell’interessato (minore, lavoratore dipendente, ecc.) e del responsabile del trattamento (ad esempio se un’organizzazione imprenditoriale si trova in una posizione dominante sul mercato); - tenere conto della modalità di trattamento dei dati (vasta scala, estrapolazione dei dati, profilazione, comunicazione a un ampio numero di persone o pubblicazione); - individuare i diritti fondamentali e/o gli interessi dell’interessato su cui potrebbe incidere il trattamento; - considerare le ragionevoli aspettative degli interessati; - valutare l’impatto sull’interessato e confrontarlo con i benefici che il responsabile del trattamento dei dati prevede di trarre dal trattamento. Suggerimento rapido: valutare l’effetto che il trattamento vero e proprio potrebbe avere su persone specifiche (questa analisi non deve essere considerata come un esercizio astratto o ipotetico).

Fase 5: definire un bilanciamento definitivo tenendo conto di garanzie supplementari

Individuare e attuare garanzie supplementari adeguate derivanti dall’obbligo di sollecitudine e di diligenza, quali: - minimizzazione dei dati (ad esempio, rigorose limitazioni della quantità di dati raccolti e l’immediata cancellazione dei dati dopo il loro utilizzo) - misure tecniche e organizzative volte a garantire che i dati non possano essere utilizzati per adottare decisioni o intraprendere altre azioni riguardo alle persone (“separazione funzionale”) - utilizzo estensivo di tecniche di anonimizzazione, aggregazione dei dati, tecnologie di rafforzamento della tutela della vita privata, tutela della vita privata fin dalla progettazione (“privacy by design”) nonché valutazioni di impatto sulla tutela della vita privata e sulla protezione dei dati; - maggiore trasparenza, diritto generale e incondizionato di opposizione (revoca del consenso), portabilità dei dati e misure correlate volte a responsabilizzare gli interessati. Suggerimento rapido: l’utilizzo di tecnologie e approcci di rafforzamento della tutela della vita privata può contribuire a far pendere il bilanciamento a favore del responsabile del trattamento dei dati nonché a proteggere le persone.

Fase 6: dimostrare la conformità e garantire la trasparenza

- Tracciare un piano delle fasi da 1 a 5 per giustificare il trattamento prima del suo avvio. - Informare gli interessati dei motivi per cui si ritiene che il bilanciamento degli interessi sia a favore del responsabile del trattamento. - Mantenere la documentazione a disposizione delle autorità di protezione dei dati. Suggerimento rapido: questa fase è adattabile e, pertanto, i dettagli della valutazione e della documentazione devono essere adeguati alla natura e al contesto del trattamento. La portata di queste misure sarà maggiore se sarà trattata una grande quantità di informazioni su molte persone in un modo che potrebbe incidere considerevolmente su di esse. Una valutazione generale dell’impatto sulla protezione dei dati personali e sulla tutela della vita privata (ai sensi dell’articolo 33 della proposta di regolamento) sarà necessaria solo nel caso in cui un’operazione di trattamento presenti rischi specifici per i diritti e le libertà degli interessati. Nei casi in questione, la valutazione di cui all’articolo 7, lettera f), potrebbe diventare una parte fondamentale di questa più ampia valutazione dell’impatto.

Fase 7: che cosa fare se l’interessato esercita il suo diritto di opposizione?

- Se come garanzia esiste solo un diritto qualificato di opporsi al trattamento (espressamente previsto ai sensi dell’articolo 14, lettera a), come garanzia minima): qualora l’interessato si opponga al trattamento, occorre garantire l’esistenza di un meccanismo adeguato e di facile utilizzo grazie al quale sia possibile valutare nuovamente il bilanciamento degli interessi per quanto riguarda la persona interessata e interrompere il trattamento dei suoi dati se dalla nuova valutazione emerge che prevalgono i suoi interessi. - Se come garanzia supplementare è previsto un diritto incondizionato di revoca del consenso (o perché espressamente prescritto ai sensi dell’articolo 14, lettera b), o perché tale diritto è altrimenti considerato una garanzia supplementare necessaria o utile): qualora l’interessato si opponga al trattamento, si deve garantire che la sua scelta sia rispettata, senza la necessità di adottare altre misure o procedere a ulteriori valutazioni.

______________

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati