{"id":9891,"date":"2017-12-13T11:34:10","date_gmt":"2017-12-13T11:34:10","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/?post_type=knowledgebase&#038;p=9891"},"modified":"2023-11-27T23:13:42","modified_gmt":"2023-11-27T23:13:42","slug":"e-necessario-il-consenso-sei-basi-giuridiche-per-il-trattamento-dei-dati-in-conformita-con-il-gdpr","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/it\/articoli\/e-necessario-il-consenso-sei-basi-giuridiche-per-il-trattamento-dei-dati-in-conformita-con-il-gdpr\/","title":{"rendered":"\u00c8 necessario il consenso? Sei basi giuridiche per il trattamento dei dati in conformit\u00e0 con il GDPR"},"content":{"rendered":"<p>Il principio di protezione dei dati dell&#8217;UE afferma inequivocabilmente che il trattamento dei dati personali \u00e8 lecito solo se, e nella misura in cui, \u00e8 consentito dalla legge applicabile. Qualsiasi giustificazione per il trattamento che il controllore<sup>1<\/sup>\u00a0dei dati pu\u00f2 fornire al di fuori di tale ambito preciso \u00e8 senza fondamento legale ed \u00e8 considerata illegale.<\/p>\n<p>Talvolta le organizzazioni ritengono di dover ottenere il consenso degli interessati per trattare i loro dati. Questo pu\u00f2 sembrare un onere amministrativo insormontabile, ma ottenere e gestire il consenso non \u00e8 obbligatorio per tutte le attivit\u00e0 di trattamento dei dati personali. Il consenso \u00e8 solo uno dei tanti modi per legittimare le attivit\u00e0 di trattamento quando vengono esaurite altre basi legali per il trattamento dei dati.<\/p>\n<p>Ecco una panoramica delle sei basi giuridiche per il trattamento dei dati, riconosciute dal <a href=\"https:\/\/staging.advisera.com\/it\/articoli\/cose-la-gdpr-ue\/\" target=\"_blank\" rel=\"noopener noreferrer\">GDPR<\/a>:<\/p>\n<h2>1. Obblighi legali e conformit\u00e0 legale<\/h2>\n<p>La base pi\u00f9 severa, precisa, ma anche ottimale per il trattamento dei dati (per quanto riguarda il controllore dei dati) \u00e8 l&#8217;esistenza di almeno una disposizione di legge (considerando 39, 40, 41, <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1), che richiede (ossia giustifica) la attivit\u00e0 di trattamento dei dati. \u00c8 obbligatorio che i controllori \/ processori<sup>2<\/sup> forniscano prima o al momento della raccolta dei dati le specifiche dell&#8217;atto giuridico e il suo estratto numerato. Per saperne di pi\u00f9 sulle differenze tra controllore e processore di dati, leggi l&#8217;articolo: <a href=\"https:\/\/staging.advisera.com\/it\/articoli\/il-gdpr-dellue-controllori-a-confronto-con-processori-quali-sono-le-differenze\/\" target=\"_blank\" rel=\"noopener noreferrer\">Il GDPR dell\u2019UE: controllori a confronto con processori &#8211; Quali sono le differenze?<\/a><\/p>\n<p>Il considerando 45 e l&#8217;<a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera c), <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo\u00a06<\/a>, paragrafo 3), estratti del GDPR, consentono il trattamento se \u00e8 necessario per adempiere a un obbligo legale ai sensi delle leggi dell&#8217;UE o di uno Stato membro.<\/p>\n<p>Ci sono molti esempi di queste basi giuridiche: registri di impiego, rapporti sugli incidenti nei registri relativi alla salute e sicurezza, ecc.<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2>2. Adempimento contrattuale<\/h2>\n<p>Il riconoscimento del fondamento stesso delle operazioni commerciali (vale a dire gli obblighi contrattuali) \u00e8 rappresentato dalla base giuridica (considerando 44, <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera b)) che consente il trattamento in due scenari. Innanzitutto, se \u00e8 necessario per stipulare un nuovo contratto o lavorare in base al contratto esistente con l&#8217;interessato, il trattamento dei dati \u00e8 consentito. Il secondo scenario \u00e8 quando l&#8217;interessato avvia delle attivit\u00e0 nei confronti del controllore dei dati, nel qual caso il trattamento \u00e8 consentito anche prima della stipula del contratto. \u00c8 il caso dell&#8217;esecuzione di misure precontrattuali (preparazione o negoziazione prima di stipulare un contratto), in cui il GDPR sottolinea che l&#8217;avvio delle fasi di trattamento dovrebbe essere effettuato su richiesta dell&#8217;interessato, anzich\u00e9 essere avviato dal controllore.<\/p>\n<p>Un esempio di questo \u00e8 il trattamento dei dati della carta di credito per eseguire il pagamento. Nei casi in cui un contratto non \u00e8 ancora esistente, come quando una persona richiede informazioni a un fornitore di servizi su un particolare servizio via e-mail o social network, il trattamento dei dati personali di quella persona \u00e8 consentito ai fini della risposta alla richiesta.<\/p>\n<h2>3. Interessi vitali<\/h2>\n<p>In situazioni non contemplate dalla legge specifica e in assenza di un contratto, il trattamento \u00e8 autorizzato se \u00e8 necessario per la salvaguardia degli interessi vitali dell&#8217;interessato (considerando 46, <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera d). La condizione pu\u00f2 estendersi ad altre persone (ad esempio i figli dell\u2019interessato).<\/p>\n<p>Si consiglia, tuttavia, di fare attenzione all&#8217;applicabilit\u00e0, in quanto gli &#8220;interessi vitali&#8221; di solito si applicano solo alle situazioni di vita o di morte. Tali situazioni possono includere servizi di emergenza che ricevono un elenco di nomi e et\u00e0 dei residenti al momento di rispondere a una chiamata di emergenza.<\/p>\n<h2>4. Compito di interesse pubblico o connesso all&#8217;esercizio di pubblici poteri<\/h2>\n<p>Quando l&#8217;esecuzione di un compito svolto nell&#8217;interesse pubblico o connesso all&#8217;esercizio di pubblici poteri di cui \u00e8 investito controllore richiede il trattamento di dati personali, \u00e8 consentito ai sensi del considerando 45; <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera e), del GDPR.<\/p>\n<p>Sebbene l&#8217;autorizzazione sia concessa di default, il trattamento eseguito su questa base pu\u00f2 essere soggetto a obiezione da parte degli interessati. Questa \u00e8 formalmente riconosciuta, in modo da consentire il riesame delle specifiche della situazione. In sostanza conferisce all&#8217;interessato la possibilit\u00e0 di mettere in discussione la definizione di interesse pubblico del controllore. L&#8217;obiezione pu\u00f2 essere accolta o meno, ma deve essere considerata e deve essere data risposta in modo tempestivo.<\/p>\n<p>Un esempio di questo tipo di trattamento \u00e8 il caso in cui i partiti politici siano autorizzati a gestire una copia del registro elettorale.<\/p>\n<h2>5. Interessi legittimi<\/h2>\n<p>Forse la base giuridica pi\u00f9 ambigua per il trattamento \u00e8 il principio degli &#8220;interessi legittimi&#8221; (considerando 47, 48, <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera f)). In breve, offre la possibilit\u00e0 di sviluppare una giustificazione per il trattamento di dati che non rientrano nei modelli giuridici di cui sopra. Questa giustificazione consentir\u00e0 il trattamento dei dati evitando la gestione del consenso degli interessati. Pu\u00f2 riguardare sia il controllore dei dati sia il terzo a cui i dati verranno comunicati.<\/p>\n<p>Tuttavia, ci\u00f2 si applica solo in situazioni in cui gli interessi, i diritti o le libert\u00e0 degli interessati non prevalgono sugli interessi del controllore. Al fine di confrontare questi gruppi di interessi potenzialmente opposti, i controllori devono condurre una cosiddetta &#8220;valutazione comparata&#8221; (che sar\u00e0 oggetto di un articolo separato).<\/p>\n<p>Il GDPR fornisce vaghe descrizioni di possibili scenari, che si inseriscono nella base di interessi legittimi. Gli esempi includono: determinati rapporti con i clienti o relativi al servizio tra l&#8217;interessato e il controllore (con limitazioni relative ai contratti di lavoro e alle autorit\u00e0 pubbliche). Sono inoltre comprese le procedure per prevenire le frodi, nonch\u00e9 la trasmissione di dati personali all&#8217;interno delle imprese dei controllori dei dati o delle istituzioni affiliate a un organismo centrale a fini amministrativi interni. Questo pu\u00f2 includere l&#8217;elaborazione dei dati personali dei clienti o dei dipendenti.<\/p>\n<h2>6. Il consenso dell\u2019interessato<\/h2>\n<p>Infine, per gli scenari che non rientrano in nessuna delle categorie di cui sopra, ai controllori dei dati rimane in ultima istanza di ottenere il permesso per il trattamento dei dati personali, ossia il consenso degli interessati (considerando 32, 42, 43; <a href=\"https:\/\/staging.advisera.com\/gdpr\/lawfulness-of-processing\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 6<\/a>, paragrafo 1, lettera a)).<\/p>\n<p>Il consenso deve essere esclusivo, riflettente l&#8217;azione discrezionale dell\u2019interessato, una risposta positiva prestata liberamente alla descrizione ben strutturata e non ambigua dell&#8217;attivit\u00e0 di trattamento. Il principio di &#8220;opt-in&#8221; \u00e8 obbligatorio, il che significa che nessuna elaborazione pu\u00f2 aver luogo fino a quando il consenso non sia assicurato. Il controllore deve essere in grado di dimostrare che l&#8217;interessato ha prestato il proprio consenso al trattamento dei propri dati personali, il che richiede l&#8217;esistenza di una catena di controllo.<\/p>\n<p>Ci\u00f2 che rende questa base giuridica meno allettante sono i requisiti del GDPR per la validit\u00e0 dell&#8217;ottenimento e della gestione del consenso e il fatto che, una volta che questo sia stato dato, il consenso pu\u00f2 essere ritirato in qualsiasi momento e con lo stesso livello di facilit\u00e0 con cui \u00e8 stato fornito.<\/p>\n<p>Il GDPR richiede la verifica dell&#8217;et\u00e0 di un minore e di assicurarsi il consenso del titolare della responsabilit\u00e0 genitoriale per l&#8217;attivit\u00e0 di trattamento dei dati (con alcune eccezioni). A seconda dell&#8217;et\u00e0 del minore, potrebbe essere obbligatorio presentare le informazioni relative al trattamento dei dati anche al minore, in un linguaggio semplice facilmente comprensibile al minore.<\/p>\n<p>Uno degli scenari pi\u00f9 comuni in cui la gestione del consenso \u00e8 obbligatoria e non pu\u00f2 essere evitata \u00e8 la raccolta delle informazioni di contatto degli interessati per scopi di marketing come le newsletter via e-mail. Non essendo regolato da alcuna legge o conformit\u00e0 legale, n\u00e9 rientrando in alcuna delle categorie sopra indicate, il trattamento dei dati personali per il semplice miglioramento delle prospettive commerciali del controllore \u00e8 consentito solo con un consenso verificabile e valido.<\/p>\n<h2>Cos\u00ec tante scelte, cos\u00ec poco tempo &#8230;<\/h2>\n<p>Tenendo a mente tutti questi fatti, le organizzazioni che agiscono come controllori dei dati dovrebbero eseguire un riesame dettagliato di tutte le loro attivit\u00e0 di trattamento dei dati. Per ognuna di questi, deve essere determinata una base legale, oltre a mantenere la documentazione obbligatoria ai fini della conformit\u00e0.<\/p>\n<p>La maggior parte delle organizzazioni dovrebbe cercare di evitare l&#8217;uso del consenso, al fine di mitigare il rischio di negazione e recesso, ma questa strategia evasiva non funzioner\u00e0 in tutte le condizioni legali. Per ognuna delle sei basi, \u00e8 assolutamente necessaria la definizione del trattamento legalmente fondata e comunicata in modo trasparente.<\/p>\n<p><em>Clicca qui per scaricare il<\/em> <a href=\"https:\/\/info.staging.advisera.com\/eugdpracademy\/it\/download-gratuiti\/piano-di-progetto-per-l-implementazione-del-gdpr-dell-ue\" target=\"_blank\" rel=\"noopener noreferrer\">Piano di Progetto per conformarsi al Regolamento Generale Europeo sulla Protezione dei Dati<\/a> <em>per imparare come essere conformi a tutti i requisiti del GDPR.<\/em><\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p><span style=\"font-size: 8pt;\"><sup>1<\/sup> Si utilizza qui e di seguito il termine non ufficiale \u201cControllore\u201d\u00a0 invece di quello ufficiale \u201cTitolare del trattamento\u201d riportato nel testo dell\u2019UE, in quanto pi\u00f9 intuitivo<\/span><\/p>\n<p><span style=\"font-size: 8pt;\"><sup>2<\/sup> Si utilizza qui e di seguito il termine non ufficiale \u201cProcessore\u201d invece di quello ufficiale \u201cResponsabile del trattamento\u201d riportato nel testo dell\u2019UE, in quanto pi\u00f9 intuitivo<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il principio di protezione dei dati dell&#8217;UE afferma inequivocabilmente che il trattamento dei dati personali \u00e8 lecito solo se, e nella misura in cui, \u00e8 consentito dalla legge applicabile. Qualsiasi giustificazione per il trattamento che il controllore1\u00a0dei dati pu\u00f2 fornire al di fuori di tale ambito preciso \u00e8 senza fondamento legale ed \u00e8 considerata illegale. [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":105505,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-9891","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-it","adv_standard-eu-gdpr-it","adv_topic-basics","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/9891","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/comments?post=9891"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/9891\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/media\/105505"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/media?parent=9891"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/tags?post=9891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}