EntiOnLine
Categorie
indietro
06/02/2018 Base giuridica: obbligo legale

Base giuridica: obbligo legale

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

III.2. Articolo 7, lettere da a) a e)

La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.

III.2.3. Obbligo legale

L’articolo 7, lettera c), è il fondamento giuridico che può essere invocato nei casi in cui il trattamento “è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento”. Questa situazione potrebbe verificarsi, per esempio, quando i datori di lavoro devono comunicare i dati relativi agli stipendi dei loro dipendenti alle autorità tributarie o previdenziali o quando gli istituti finanziari sono tenuti a segnalare talune operazioni sospette alle autorità competenti ai sensi delle norme antiriciclaggio. Potrebbe anche essere un obbligo cui è soggetta un’autorità pubblica, poiché niente limita l’applicazione dell’articolo 7, lettera c), al settore privato o pubblico. Questo fondamento giuridico potrebbe ad esempio applicarsi alla raccolta di dati da parte di un’autorità locale per la gestione delle multe per sosta vietata. L’articolo 7, lettera c), presenta analogie con l’articolo 7, lettera e), poiché spesso un compito di interesse pubblico si basa su una disposizione giuridica o deriva da essa. Il campo di applicazione dell’articolo 7, lettera c), è tuttavia rigidamente delimitato. Affinché sia possibile applicare l’articolo 7, lettera c), l’obbligo deve essere imposto dalla legge (e non, per esempio, da una disposizione contrattuale). La legge deve soddisfare tutte le pertinenti condizioni volte a rendere l’obbligo valido e vincolante e deve altresì rispettare la normativa in materia di protezione dei dati, tra cui i requisiti di necessità, proporzionalità38 e limitazione delle finalità. È inoltre importante sottolineare che l’articolo 7, lettera c), si riferisce alla legislazione dell’Unione europea o di uno Stato membro. Gli obblighi previsti dagli ordinamenti nazionali dei paesi terzi (quali, ad esempio, l’obbligo di istituire procedure per la denuncia delle irregolarità ai sensi della legge Sarbanes-Oxley, emanata dagli Stati Uniti nel 2002) non sono contemplati da questo fondamento giuridico. Per essere valido, un obbligo legale vigente in un paese terzo dovrà essere ufficialmente riconosciuto e integrato nell’ordinamento giuridico dello Stato membro interessato, per esempio sotto forma di accordo internazionale 39 . D’altro canto, la necessità di rispettare un obbligo vigente in un paese terzo potrebbe rappresentare un interesse legittimo del responsabile del trattamento, ma solo subordinatamente al test comparativo dell’articolo 7, lettera f), e purché siano predisposte garanzie adeguate come quelle adottate dall’autorità di protezione dei dati competente. Il responsabile del trattamento non deve poter scegliere se adempiere o meno l’obbligo legale. Se va al di là di quanto prescritto dalla legge, il trattamento dei dati effettuato nell’ambito degli impegni volontari unilaterali e dei partenariati pubblico-privato non è pertanto contemplato dall’articolo 7, lettera c). Se, per esempio, senza avere un chiaro e specifico obbligo legale di agire in tal senso, un fornitore di servizi Internet decide di monitorare i suoi utenti nel tentativo di contrastare il download illegale di contenuti, l’articolo 7, lettera c), non rappresenta un fondamento giuridico adeguato a tal fine.Inoltre, l’obbligo legale stesso deve essere sufficientemente chiaro riguardo al trattamento dei dati personali che richiede. Di conseguenza, l’articolo 7, lettera c), si applica sulla base delle disposizioni giuridiche che si riferiscono espressamente alla natura e all’oggetto del trattamento. Il responsabile del trattamento non deve avere un indebito potere discrezionale sulle modalità di adempimento dell’obbligo legale. In alcuni casi la legislazione potrebbe fissare solo un obiettivo generale, imponendo obblighi più specifici a un livello differente, per esempio o nel diritto derivato o con una decisione vincolante di un’autorità pubblica in un caso concreto. Ne potrebbero altresì scaturire obblighi legali ai sensi dell’articolo 7, lettera c), purché la natura e l’oggetto del trattamento siano ben definiti e soggetti a una base giuridica adeguata. Tuttavia, la situazione sarebbe diversa se un’autorità di regolamentazione stabilisse esclusivamente orientamenti politici generali nonché le condizioni alle quali potrebbe valutare l’opportunità di utilizzare i suoi poteri di esecuzione (ad esempio orientamenti normativi destinati agli istituti finanziari su taluni criteri di debita diligenza). In tali circostanze, le attività di trattamento dovrebbero essere valutate ai sensi dell’articolo 7, lettera f), ed essere considerate legittime solo subordinatamente all’ulteriore test comparativo40 . Come osservazione generale, è opportuno rilevare che alcune attività di trattamento potrebbero sembrare rientrare nella portata dell’articolo 7, lettere c) o b), senza rispettare appieno i criteri di applicazione di tali fondamenti giuridici. Questo non significa che tali attività di trattamento siano sempre necessariamente illegittime: talvolta potrebbero essere legittime, ma ai sensi dell’articolo 7, lettera f), subordinatamente all’ulteriore test comparativo.

______________

38 Cfr. anche il parere 1/2014 del Gruppo di lavoro sull’applicazione dei principi di necessità e proporzionalità nell’azione di contrasto, adottato il 27 febbraio 2014 (WP 211).

39 Cfr. a questo proposito la sezione 4.2.2 del parere 10/2006 del Gruppo di lavoro sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT), adottato il 20 novembre 2006 (WP 128), e il parere 1/2006 del Gruppo di lavoro relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria, adottato il 1° febbraio 2006 (WP 117).

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati