Liceità
Un trattamento è lecito se è conforme alla legge, ai regolamenti e alla normativa comunitaria, i dati personali trattati sono stati ottenuti, raccolti ed elaborati correttamente e l’interessato non è stato indotto a fornire le informazioni con indicazioni parziali per quanto attiene le finalità di trattamento o all’ambito di divulgazione dei dati.
Se è presente una delle seguenti basi giuridiche il trattamento è lecito:
- a) consenso dell’interessato (espresso per una o più specifiche finalità)
- b) esecuzione di un contratto di cui l’interessato è parte e esecuzione di misure precontrattuali richieste dall’interessato
- c) adempimento ad un obbligo di legge da parte del titolare del trattamento (l’obbligo giuridico deve provenire dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare)
- d) necessità di salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica
- e) necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare (l’interesse pubblico deve essere previsto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare)
- f) necessità di perseguire un legittimo interesse del titolare del trattamento o di un terzo, quando il legittimo interesse perseguito prevalga sugli interessi o i diritti e le libertà fondamentali dell’interessato
Se il titolare volesse utilizzare i dati già in suo possesso per un trattamento diverso da quello per cui sono stati raccolti deve prima verificare se è presente almeno una delle elencate basi giuridiche.
In mancanza, per ritenere anche l’ulteriore diverso trattamento lecito, deve ulteriormente verificare almeno i seguenti aspetti:
– ci sia un collegamento tra la finalità per cui i dati sono stati raccolti e la ulteriore finalità del trattamento diverso;
– quale relazione lega il titolare del trattamento all’interessato;
– quale sia la natura dei dati personali (specialmente nel caso in cui i dati oggetto del trattamento appartengano alle categorie di cui agli artt. 9 e 10 GDPR);
– quali possono essere le possibili conseguenze del diverso trattamento;
– se sussistono garanzie adeguate (esempio: pseudonimizzazione o cifratura).
In ogni caso l’interessato deve essere sempre informato dell’ulteriore trattamento in modo da essere messo nelle condizioni di poter scegliere se esercitare i diritti attribuitigli dal legislatore europeo agli artt. 15-22 GDPR.
L’ulteriore diverso trattamento è comunque vietato se non è compatibile con un obbligo vincolante di segretezza, di natura giuridica, professionale o di altro genere.