Quando possono essere trattati i dati personali?

Risposta

La tua azienda/organizzazione può trattare dati personali solo nelle seguenti circostanze:

• con il consenso delle persone interessate;
• laddove esista un obbligo contrattuale (un contratto tra la tua azienda/organizzazione e un cliente);
• per adempiere a un obbligo giuridico ai sensi della legislazione UE o nazionale;
• quando il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico ai sensi della legislazione UE o nazionale;
• per proteggere gli interessi vitali di una persona;
• per i legittimi interessi della tua organizzazione, ma solo dopo aver verificato che non vengano compromessi i diritti e le libertà fondamentali della persona di cui stai trattando i dati. Se i diritti della persona prevalgono sui tuoi interessi, il trattamento non può essere effettuato sulla base di un interesse legittimo. La valutazione del fatto che la tua azienda/organizzazione abbia un legittimo interesse al trattamento che prevale su quello degli interessati dipende dalle singole circostanze del caso.

Esempi

Consenso
La tua azienda/organizzazione offre un’app musicale e chiede il consenso dei cittadini a trattare le loro preferenze musicali per suggerire canzoni su misura ed eventuali concerti.

Obbligo contrattuale
La tua azienda/organizzazione vende merci online. Può trattare i dati necessari per procedere, su richiesta dell’interessato prima della stipula del contratto e per l’esecuzione dello stesso. Potrà trattare il nome, l’indirizzo di consegna, il numero della carta di credito (se si esegue il pagamento con carta) ecc.

Obbligo giuridico
Hai un’azienda con dipendenti. Per ottenere la copertura previdenziale, la legge ti obbliga a fornire dati personali (ad esempio, il reddito settimanale dei dipendenti) all’autorità competente.

Interesse pubblico
Esempio: un’associazione di categoria, come un ordine degli avvocati o un ordine di medici abilitati alla professione, può avviare procedimenti disciplinari nei confronti di alcuni dei suoi membri.

Interessi vitali di una persona
Un ospedale che cura un paziente dopo un grave incidente stradale non ha bisogno del suo consenso per cercare un documento e verificare se questa persona esiste nel database dell'ospedale e trovarne l’anamnesi, o per contattare il parente più prossimo.

Legittimi interessi  della tua organizzazione
La tua azienda/organizzazione garantisce la sicurezza della rete monitorando l’utilizzo dei dispositivi informatici dei dipendenti. La tua azienda/organizzazione può trattare legittimamente i dati personali a questo scopo solo se sceglie il metodo meno invasivo per quanto riguarda il diritto alla privacy e alla protezione dei dati dei dipendenti, ad esempio limitando l’accessibilità di alcuni siti web (si noti che questo non si può fare negli Stati membri dell'UE  in cui la legge nazionale stabilisce regole più severe per il trattamento dei dati nel contesto lavorativo).

Riferimenti

• Articolo 6; Considerando 40, 41, 42, 43, 44, 45, 46, 47, 48, 49 del GDPR
• Gruppo di lavoro ex articolo 29 - Parere 06/2014 sul concetto di interessi legittimi del responsabile del trattamento ai sensi dell'articolo 7 della direttiva 95/46/CE

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E