Il fondamento di ogni attività di trattamento è la presenza di una base giuridica valida, come stabilito dall’articolo 6 del GDPR. La scelta e l’applicazione corretta della base giuridica sono presupposti essenziali per la liceità del trattamento.
Le basi giuridiche hanno pari dignità; non esiste una gerarchia. Tuttavia, la scelta deve essere ponderata e documentata.
Per il trattamento di dati particolari (categorie ex Art. 9), è necessario soddisfare una condizione di deroga specifica (Art. 9, par. 2) oltre a una base giuridica generale (Art. 6).
La base giuridica deve essere determinata prima di avviare il trattamento e comunicata chiaramente all’interessato nell’informativa privacy.
1. Il Consenso (Art. 6, par. 1, lett. a)
Il consenso è una scelta libera, specifica, informata e inequivocabile dell’interessato. Per essere valido, deve rispettare requisiti stringenti:
- Libero: Non deve esistere uno squilibrio di potere (es. datore di lavoro-dipendente) e non può essere condizionato alla prestazione di un servizio.
Specifico: Deve essere richiesto per finalità determinate e separate; un consenso “generico” non è valido. - Informato: L’interessato deve conoscere l’identità del titolare, le finalità, i tipi di dati e il diritto di revoca.
- Inequivocabile: Richiede un’azione affermativa (es. spunta su casella non pre-compilata). Il silenzio non equivale a consenso.
- Revocabile: Il diritto di ritirare il consenso in qualsiasi momento deve essere chiaramente comunicato e deve essere semplice quanto il darlo.
Per i minori in relazione ai servizi della società dell’informazione, il consenso è valido a partire dai 14 anni, e il titolare deve compiere sforzi ragionevoli per verificarne l’età.
2. L’Esecuzione di un Contratto (Art. 6, par. 1, lett. b)
Il trattamento è lecito quando è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per adempiere a sue specifiche richieste pre-contrattuali (es. preparazione di un’offerta). La necessità è il criterio dirimente: il trattamento deve essere strettamente funzionale all’esecuzione di quel preciso contratto. Non può essere utilizzato per finalità accessorie, come il marketing o la profilazione, se non indispensabili per l’adempimento contrattuale.
3. L’Adempimento di un Obbligo di Legge (Art. 6, par. 1, lett. c)
Questa base giuridica si applica quando il trattamento è necessario per adempiere a un obbligo legale previsto da una norma di legge primaria o secondaria (es. un regolamento ministeriale) a cui il titolare è soggetto. Gli obblighi auto-imposti tramite policy aziendali interne non costituiscono una base giuridica valida ai sensi di questa disposizione.
4. L’Interesse Vitale (Art. 6, par. 1, lett. d)
Il trattamento è lecito quando è necessario per proteggere gli interessi vitali dell’interessato o di altra persona fisica. Tipicamente rilevante in situazioni di emergenza medica in cui l’interessato non è in grado di prestare il consenso. Ha un’applicazione limitata nel contesto delle PMI.
5. L’Esecuzione di un Compito di Interesse Pubblico (Art. 6, par. 1, lett. e)
Questa base giuridica è principalmente utilizzata dalle autorità pubbliche per lo svolgimento di compiti loro attribuiti dalla legge. Le imprese private possono interagire con essa quando sono obbligate a fornire dati a un’autorità pubblica in base a un suo potere legale.
6. L’Interesse Legittimo (Art. 6, par. 1, lett. f)
L’interesse legittimo del titolare o di un terzo può costituire base giuridica per trattamenti necessari al perseguimento di tali interessi, a condizione che non prevalgano i diritti e le libertà fondamentali dell’interessato. È una base flessibile ma che richiede un’attenta verifica preliminare (Balancing Test) per:
1. Identificare l’interesse legittimo (es. sicurezza, prevenzione frodi, marketing diretto).
2. Valutare la necessità del trattamento per raggiungere lo scopo.
3. Bilanciare l’interesse del titolare con l’impatto sull’interessato, considerando le sue ragionevoli aspettative.
L’interessato ha sempre il diritto di opporsi al trattamento fondato su interesse legittimo per motivi connessi alla sua situazione particolare. L’opposizione al marketing diretto è un diritto assoluto.
