Le micidiali sanzioni applicate in tema di trattamento di dati
L’articolo 6, comma 1, del regolamento generale europeo stabilisce le regole, in base alle quali è lecito trattare dati personali. Ecco le sei regole:
omissis
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un'altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Omissis
Analizziamo in modo sintetico le sei regole enunciate.
Il trattamento di cui alla lettera a) è quello che più frequentemente avviene; il titolare offre un’informazione all’interessato, descrivendo i dati che desidera raccogliere e le modalità di trattamento e riceve un consenso esplicito da parte dell’interessato coinvolto. Appare evidente che se l’informazione non è completa, non è chiaramente intellegibile per una persona di normale cultura e nasconde deliberati aspetti del trattamento, il consenso non può essere ritenuto valido il trattamento diventa di conseguenza illegittimo.
L’autorità garante irlandese ha messo in evidenza come l’informativa offerta a molti interessati, che si collegavano ai social media, violava in più parti questi aspetti ed ha applicato una sanzione estremamente elevata, in quanto il potere dissuasivo della sanzione, nei confronti dei giganti dei social, deve essere proporzionato al fatturato.
Il trattamento di cui alla lettera b) è quello tipico, ad esempio, connesso all’attivazione di una polizza di assicurazione. È evidente che l’attivazione della polizza, ad esempio in regime di coassicurazione, comporta di necessità la comunicazione di tutti gli estremi relativi alle altre compagnie di assicurazione coinvolte. Parimenti, in caso di sinistro, è altrettanto evidente che i dati personali dell’assicurato devono essere comunicati alle officine autorizzate o, in caso di conseguenze fisiche, alle strutture sanitarie coinvolte.
Il trattamento della lettera c) è, ad esempio, quello legato al fatto che la concessione di un prestito od un mutuo, da parte di una banca, può comportare la trasmissione dei dati dell’interessato al CRIF - sistema di informazioni creditizie.
Il trattamento di cui alla lettera d) è quello che viene tipicamente esemplificato con un intervento di primo soccorso sanitario, che può richiedere la acquisizione di dati sanitari del paziente, anche in assenza di consenso, con l’obiettivo di salvaguardare il suo interesse vitale.
Il trattamento di cui alla lettera e) è ben esemplificato dal fatto che un servizio di polizia locale, che debba inviare una sanzione per violazione del codice della strada, ha pieno diritto di accedere al pubblico registro automobilistico per acquisire i dati personali del proprietario dell’autovettura. Lo stesso ragionamento si applica alla magistratura inquirente, che può acquisire dati personali di vari interessanti, per finalità di indagine, senza richiedere alcun consenso da parte degli interessati coinvolti.
Il trattamento di cui alla lettera f) e quello che desta maggiori perplessità, perché la valutazione della legittimità dell’interesse del titolare potrebbe essere assai discrezionale. Un titolare può ritenere di essere legittimamente autorizzato al trattamento, mentre una autorità garante potrebbe ritenere che tale legittimità non esista. Ecco perché, in caso di contestazione, il ricorso al comitato europeo per la protezione dei dati, le cui decisioni sono vincolanti per tutta l’Europa, può rappresentare l’unica soluzione, che tutela i diritti del titolare ed i diritti dell’interessato.
In allegato a questa breve notizia, sono disponibili tre documenti, emessi appunto dal comitato europeo per la protezione dei dati, che chiariscono alcuni aspetti legati alle violazioni di una o più delle lettere del primo comma dell’articolo 6. È opportuno che tutti i titolari di trattamento, i loro responsabili e il responsabile della protezione dei dati studino attentamente questi documenti, per aiutare il titolare ad inquadrare correttamente le sue attività di raccolta e trattamento di dati.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: Stefano - likes: 0 | 20/03/2023 (17:46:09) |
In realtà, leggendo una parte delle decisioni vincolanti del board Europeo, sembra più una reprimenda al garante Irlandese per non essere andato sufficientemente a fondo ed aver limitato in maniera ingiustificata l'ambito di indagine e quindi delle sanzioni, cosa che invece deve fare sulla base delle decisioni vincolanti stesse. In ciò accogliendo le obiezioni degli altri garanti alla bozza prodotta da quello Irlandese. Poi sarà da vedere se la logica del garante competente per territorialità non comporta conflitti di interessi a fronte dell'impatto economico che una simile multinazionale porta allo Stato in cui ha sede. |