Liceità

Un trattamento è lecito se è conforme alla legge, ai regolamenti e alla normativa comunitaria, i dati personali trattati sono stati ottenuti, raccolti ed elaborati correttamente e l’interessato non è stato indotto a fornire le informazioni con indicazioni parziali per quanto attiene le finalità di trattamento o all’ambito di divulgazione dei dati.

Se è presente una delle seguenti basi giuridiche il trattamento è lecito:

1. a) consenso dell’interessato (espresso per una o più specifiche finalità)
2. b) esecuzione di un contratto di cui l’interessato è parte e esecuzione di misure precontrattuali richieste dall’interessato
3. c) adempimento ad un obbligo di legge da parte del titolare del trattamento (l’obbligo giuridico deve provenire dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare)
4. d) necessità di salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica
5. e) necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare (l’interesse pubblico deve essere previsto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare)
6. f) necessità di perseguire un legittimo interesse del titolare del trattamento o di un terzo, quando il legittimo interesse perseguito prevalga sugli interessi o i diritti e le libertà fondamentali dell’interessato

Se il titolare volesse utilizzare i dati già in suo possesso per un trattamento diverso da quello per cui sono stati raccolti deve prima verificare se è presente almeno una delle elencate basi giuridiche.

In mancanza, per ritenere anche l’ulteriore diverso trattamento lecito, deve ulteriormente verificare almeno i seguenti aspetti:

– ci sia un collegamento tra la finalità per cui i dati sono stati raccolti e la ulteriore finalità del trattamento diverso;

– quale relazione lega il titolare del trattamento all’interessato;

– quale sia la natura dei dati personali (specialmente nel caso in cui i dati oggetto del trattamento appartengano alle categorie di cui agli artt. 9 e 10 GDPR);

– quali possono essere le possibili conseguenze del diverso trattamento;

– se sussistono garanzie adeguate (esempio: pseudonimizzazione o cifratura).

In ogni caso l’interessato deve essere sempre informato dell’ulteriore trattamento in modo da essere messo nelle condizioni di poter scegliere se esercitare i diritti attribuitigli dal legislatore europeo agli artt. 15-22 GDPR.

L’ulteriore diverso trattamento è comunque vietato se non è compatibile con un obbligo vincolante di segretezza, di natura giuridica, professionale o di altro genere.