Condivisione

Cos’è il trattamento dei dati personali? Facciamo chiarezza grazie alla Dott.sa Raffaella Sella, Risk & Privacy Manager

 

Trattamento dei dati personali è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il concetto di trattamento ingloba tutte quelle operazioni che implicano una conoscenza di dati personali. L’azienda è tenuta ad individuare le finalità per le quali raccoglie e tratta tali dati.

Per dare un’idea della complessità e della confusione che caratterizzano l’individuazione della specifica finalità e della pertinente condizione di liceità, di volta in volta e per ogni trattamento, partiamo da qualche dato di contesto: secondo un recente studio prodotto dall’Osservatorio Federprivacy, relativo all’andamento delle ispezione dei diversi garanti europei in tema di violazioni al GDPR, nel 2019, nel 44% dei casi le infrazioni sono state relative al trattamento illecito di dati.

Talvolta interloquendo con i dipendenti durante le quotidiane attività di formazione, di consulenza o svolgendo il ruolo di Responsabile per la Protezione dei Dati, alla domanda da parte mia, se il trattamento sia lecito, la risposta di solito risulta essere più o meno così: “certo! fa parte delle normali attività aziendali”.

Ed è qui l’ostacolo: il GDPR sottolinea all’Art. 5 comma 1 lettera b): “finalità determinate, esplicite e legittime”.

L’azienda in quanto Titolare del Trattamento dovrà quindi di volta in volta e per ogni trattamento individuare la specifica finalità e la pertinente condizione di liceità.

Le basi giuridiche: come individuarle

L’Articolo 6 del GDPR non lascia molti dubbi:

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

I 3 passi falsi da evitare quando si frequenta un corso online

a)  l’interessato ha espresso il consenso …;
b)  il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c)  il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d)  il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e)  il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f)  il trattamento è necessario per il perseguimento del legittimo interesse …

Qualora esista una legge, una norma o un regolamento, che imponga degli obblighi specifici, il mio suggerimento è di indicare quale condizione di liceità l’Art. 6, 1 c), rifacendoci quindi all’obbligo legale.

Esempio: gli adempimenti obbligatori in materia di salute e sicurezza sul lavoro, vincolanti per qualsiasi organizzazione sia essa pubblica o privata, sono un evidente obbligo legale.

Qualora il trattamento sia relativo a un servizio, che rientri nella fattispecie del contratto, la condizione di liceità è l’Art. 6, 1 b), rifacendoci all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Il consenso dovrebbe essere infine una condizione di liceità residuale.

Esempio: l’iscrizione alla Newsletter.

alpha network

 

Nella maggior parte dei casi, l’iscrizione ad una Newsletter necessità da parte del Titolare d’Impresa l’ottenimento di specifico consenso da parte dell’Interessato in quanto difficilmente si può dimostrare in modo inequivocabile che l’Interessato ha espresso la volontà di ricevere periodicamente informazioni e sollecitazioni rispetto ad un specifico prodotto/servizio/contenuto.

Se la base giuridica prescelta è il Consenso (Art. 6, 1 a)) in fase d’ispezione ci chiederebbero oltre alle motivazioni per cui abbiamo optato per il consenso, di fornire evidenza dello stesso (link del format elettronico o supporto cartaceo), le modalità e i tempi di conservazione degli stessi.

Hisense amplia il proprio team e annuncia l’ingresso in azienda di Lorenzo Grigoli

Se la base giuridica prescelta è il contratto (Art. 6, 1 b) in fase d’ispezione ci potrebbero chiedere puntuale evidenza dello stesso.

Se la base giuridica è l’adempimento a un obbligo legale (Art. 6, 1 c) oppure l’interesse pubblico (Art. 6, 1 c) sarà necessario specificare la norma in questione.

Facciamo qualche ulteriore esempio.

Se il trattamento in essere fosse l’Utilizzo di immagini e riprese video sui canali media dell’Ente (Sito web, Social network, Pubblicazioni cartacee), la condizione di liceità sarebbe: GDPR art. 6 a).

Se il trattamento in essere fossero le Attività relative ai contratti, scritture private ed incarichi dati a terzi dall’Ente (stipula, controlli, verifiche, garanzie, pagamenti), la base giuridica sarebbe: GDPR art. 6 b) e relativa contrattualistica.

Se il trattamento in essere fosse la Gestione contabile dei dipendenti, pagamento delle retribuzioni, calcolo degli oneri e calcolo dei contributi previdenziali, la base giuridica corretta e completa sarebbe: GDPR art. 6 c) – Contratti di Lavoro Nazionali.

Individuare base giuridica e liceità nei trattamenti su dati aziendali è operazione in definitiva tutt’altro che semplice o immediata. Per questo è necessario affidarsi ad esperti della materia in grado di valutare le diverse implicazioni e obblighi di monitoraggio derivanti anche dagli impatti relativi ai tempi di conservazione delle diverse tipologie di dati.

Rubrica “Speciale GDPR” curata da:
Dott.ssa Raffaella Sella
Risk & Privacy Manager – DPO
Alpha Network S.r.l.
www.alpha-network.it