Le micidiali sanzioni applicate in tema di trattamento di dati

Le micidiali sanzioni applicate in tema di trattamento di dati

L’autorità garante irlandese è particolarmente attenta al trattamento di dati svolto dai giganti dei social. Un attento studio ha messo in evidenza come tali trattamenti violassero le disposizioni dell’articolo 6 del regolamento generale europeo.

L’articolo 6, comma 1, del regolamento generale europeo stabilisce le regole, in base alle quali è lecito trattare dati personali. Ecco le sei regole:

omissis

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un'altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

Omissis

Analizziamo in modo sintetico le sei regole enunciate.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Il trattamento di cui alla lettera a) è quello che più frequentemente avviene; il titolare offre un’informazione all’interessato, descrivendo i dati che desidera raccogliere e le modalità di trattamento e riceve un consenso esplicito da parte dell’interessato coinvolto. Appare evidente che se l’informazione non è completa, non è chiaramente intellegibile per una persona di normale cultura e nasconde deliberati aspetti del trattamento, il consenso non può essere ritenuto valido il trattamento diventa di conseguenza illegittimo.

L’autorità garante irlandese ha messo in evidenza come l’informativa offerta a molti interessati, che si collegavano ai social media, violava in più parti questi aspetti ed ha applicato una sanzione estremamente elevata, in quanto il potere dissuasivo della sanzione, nei confronti dei giganti dei social, deve essere proporzionato al fatturato.

Il trattamento di cui alla lettera b) è quello tipico, ad esempio, connesso all’attivazione di una polizza di assicurazione. È evidente che l’attivazione della polizza, ad esempio in regime di coassicurazione, comporta di necessità la comunicazione di tutti gli estremi relativi alle altre compagnie di assicurazione coinvolte. Parimenti, in caso di sinistro, è altrettanto evidente che i dati personali dell’assicurato devono essere comunicati alle officine autorizzate o, in caso di conseguenze fisiche, alle strutture sanitarie coinvolte.

Il trattamento della lettera c) è, ad esempio, quello legato al fatto che la concessione di un prestito od un mutuo, da parte di una banca, può comportare la trasmissione dei dati dell’interessato al CRIF - sistema di informazioni creditizie.

Il trattamento di cui alla lettera d) è quello che viene tipicamente esemplificato con un intervento di primo soccorso sanitario, che può richiedere la acquisizione di dati sanitari del paziente, anche in assenza di consenso, con l’obiettivo di salvaguardare il suo interesse vitale.

Il trattamento di cui alla lettera e) è ben esemplificato dal fatto che un servizio di polizia locale, che debba inviare una sanzione per violazione del codice della strada, ha pieno diritto di accedere al pubblico registro automobilistico per acquisire i dati personali del proprietario dell’autovettura. Lo stesso ragionamento si applica alla magistratura inquirente, che può acquisire dati personali di vari interessanti, per finalità di indagine, senza richiedere alcun consenso da parte degli interessati coinvolti.

Il trattamento di cui alla lettera f) e quello che desta maggiori perplessità, perché la valutazione della legittimità dell’interesse del titolare potrebbe essere assai discrezionale. Un titolare può ritenere di essere legittimamente autorizzato al trattamento, mentre una autorità garante potrebbe ritenere che tale legittimità non esista. Ecco perché, in caso di contestazione, il ricorso al comitato europeo per la protezione dei dati, le cui decisioni sono vincolanti per tutta l’Europa, può rappresentare l’unica soluzione, che tutela i diritti del titolare ed i diritti dell’interessato.

In allegato a questa breve notizia, sono disponibili tre documenti, emessi appunto dal comitato europeo per la protezione dei dati, che chiariscono alcuni aspetti legati alle violazioni di una o più delle lettere del primo comma dell’articolo 6. È opportuno che tutti i titolari di trattamento, i loro responsabili e il responsabile della protezione dei dati studino attentamente questi documenti, per aiutare il titolare ad inquadrare correttamente le sue attività di raccolta e trattamento di dati.

Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR)(pdf)

Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR (pdf)

Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR)(pdf)

Adalberto Biasiotti

Licenza Creative Commons