Il regolamento generale sulla protezione dei dati richiede il rispetto di vari principi per il trattamento dei dati personali legalmente conforme (art. 5 GDPR). Uno di questi principi è la liceità del trattamento dei dati, che è ulteriormente specificato nell’articolo 6 GDPR con un catalogo finale delle condizioni (permesso, giustificazione). In questo contesto, si parla di un divieto con una riserva di autorizzazione. Almeno una delle condizioni menzionate deve essere soddisfatta per presumere che il trattamento dei dati sia lecito.
Il trattamento dei dati personali è pertanto legittimo solo se (abbreviato):
- sulla base del consenso dell’interessato (paragrafo 1 lettera a);
- è necessario per eseguire un contratto o misure precontrattuali (paragrafo 1 lett. b);
- è necessario per adempiere a un obbligo legale (paragrafo 1 lett. c);
- è necessario per tutelare gli interessi vitali (paragrafo 1 lettera d);
- è necessario per l’esecuzione di un compito nell’interesse pubblico o nell’esercizio dell’autorità ufficiale (paragrafo 1 lettera e); o
- è necessario per salvaguardare gli interessi legittimi della persona responsabile o di un terzo (paragrafo 1 lettera f).
Le condizioni menzionate non costituiscono una gerarchia gerarchica per giustificare la legalità, ma possono essere soddisfatte individualmente o in gruppo. Tuttavia, ci sono ancora differenze qualitative: è la condizione da lasciare. formulato in modo molto specifico e inequivocabile dopo il consenso, questa è la condizione da lasciare. f formulata in modo molto più aperto dopo aver tutelato gli interessi legittimi. Ciò ha la conseguenza che alle condizioni di lst. f sottoscrivere molti fatti diversi che non sono coperti dalle altre condizioni. Tuttavia, significa anche che l’applicazione di questa condizione per stabilire la liceità del trattamento dei dati richiede una giustificazione più elaborata. Inoltre, il trattamento dei dati personali sulla base di lit.
Equilibrare gli interessi
Letteralmente citato è l’articolo 6 capoverso 1 lett. f GDPR:
| Il trattamento è necessario per salvaguardare gli interessi legittimi della persona responsabile o di una terza parte, a meno che prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore atti. |
Da questa formulazione si evince che per applicare la disposizione, gli interessi legittimi della persona responsabile (o di una terza parte) devono essere valutati rispetto agli interessi, ai diritti fondamentali e alle libertà dell’interessato. Ciò deve essere sempre fatto in singoli casi – non è consentito il bilanciamento generale degli interessi – e gli interessi dell’interessato non devono in alcun modo superarli. Al contrario, ciò significa che gli interessi legittimi della persona responsabile o di una terza parte devono superare quelli dell’interessato o almeno essere equamente ponderati.
Per l’effettivo bilanciamento degli interessi, deve prima essere accertata l’esistenza di un effettivo interesse legittimo della persona responsabile (o di una terza parte). Quindi si deve verificare se il trattamento dei dati personali è veramente necessario per questo interesse e per raggiungere lo scopo associato, ovvero se l’elaborazione dei dati è il mezzo più delicato. Infine, si deve verificare se l’interesse o i diritti e le libertà fondamentali dell’interessatonon predominare. Qualsiasi misura di protezione da prendere deve essere presa in considerazione. Solo se si può rispondere affermativamente a tutti e tre i punti, il riferimento all’articolo 6 capoverso 1 lett. f GDPR legittimo per la liceità del trattamento dei dati. L’onere della prova incombe al responsabile del trattamento.
Se l’interessato è un bambino di età inferiore ai 18 anni, i suoi interessi devono avere un peso particolarmente elevato oppure i requisiti devono essere ponderati con requisiti particolarmente severi. Prima che il bambino raggiunga i 16 anni, gli interessi del bambino devono essere compensati.
Interessi legittimi (esempi)
Esistono innumerevoli esempi di interessi legittimi. In linea di principio, è possibile includere qualsiasi interesse legittimo di un responsabile del trattamento o di un terzo (sia esso legale, fattuale, economico o ideale) riconosciuto da un sistema legale. Secondo il GDPR, il trattamento dei dati personali può derivare da un interesse legittimo:
- esercitare diritti fondamentali speciali quali libertà di espressione, stampa e radiodiffusione;
- nel quadro della libertà professionale;
- combattere la frode (ErwG 47);
- per la pubblicità diretta (ErwG 47);
- nell’ambito del privilegio delle piccole imprese (ErwG 48);
- garantire la sicurezza IT (ErwG 49);
- per mostrare fatti criminalmente rilevanti (ErwG 50);
- se i dati sono stati ovviamente resi pubblici dall’interessato;
- per far valere, esercitare o difendere azioni legali.
A parte ciò, le autorità non possono esercitare la loro attività sovrana sull’articolo 6 capoverso 1 lett. f DSGVO, perché tutti i loro compiti pubblici richiedono una base legale. Al massimo, tuttavia, possono fare riferimento al loro interesse legittimo per l’elaborazione dei dati al di fuori dell’adempimento dei loro compiti pubblici (ad esempio quando si valutano le visite al loro sito Web o si inviano cartoline di Natale).
Schema di prova per i responsabili
Il seguente schema di prova per il bilanciamento degli interessi dei responsabili del trattamento dei dati sulla base dell’articolo 6 capoverso 1 lett. f Il GDPR si basa sulle osservazioni del WP 217 del gruppo di protezione dei dati di cui all’articolo 29 :
- Prima di tutto, si deve valutare quale base giuridica ai sensi dell’articolo 6 capoverso 1 lett. af GDPR potrebbe essere applicabile per l’elaborazione dei dati previsti.
- Se la base giuridica dell’articolo 6 capoverso 1 lett. f Si deve applicare il GDPR (interesse legittimo), occorre chiarire se l’interesse in esame deve essere classificato come “legittimo” o come “non autorizzato”. Affinché un interesse sia considerato legittimo, deve soddisfare cumulativamente i seguenti requisiti:
a) deve essere legale (ovvero deve essere conforme alla legge applicabile dell’UE e dello stato membro UE / SEE);b) deve essere articolato in modo sufficientemente chiaro in modo da poter essere valutato rispetto agli interessi e ai diritti fondamentali dell’interessato (ovvero deve essere sufficientemente specifico);c) deve rappresentare un interesse attuale e attuale (cioè non deve essere speculativo).
- Occorre inoltre determinare se il trattamento sia realmente necessario per raggiungere l’interesse perseguito. È importante valutare se esistono altri mezzi meno invasivi per raggiungere l’interesse legittimo della persona responsabile.
- Il passo successivo è valutare se i diritti o gli interessi fondamentali dell’interessato debbano essere ponderati in misura superiore all’interesse legittimo della persona responsabile.
- Il risultato dell’ultimo passaggio deve quindi essere verificato nuovamente tenendo conto delle eventuali misure protettive aggiuntive da adottare e deve essere garantito che i diritti o gli interessi fondamentali dell’interessato non prevalgano sugli interessi legittimi della persona responsabile.
- Infine, devono essere fornite prove della conformità e della garanzia della trasparenza nei confronti dell’interessato.
- Infine, il responsabile del trattamento deve verificare quale sia l’ulteriore procedura o su quale altra base giuridica su cui potrebbe eventualmente basare il suo trattamento dei dati se l’interessato esercita il suo diritto di opposizione.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEL LIECHTENSTEIN