DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Trattamento Legale

Trattamento Legale

trattamento legale

Il Regolamento Generale sulla Protezione dei Dati, o GDPR, stabilisce regole rigorose su come le aziende possono condurre il trattamento legale dei PII degli individui nell’Unione Europea.

Al centro di queste regole c’è il requisito che tutti i trattamenti dei dati personali devono avere una base giuridica. Esistono sei basi giuridiche per il trattamento legale dei dati ai sensi del GDPR.

Le aziende devono determinare la base giuridica appropriata prima di trattare i dati personali.

Quali Sono le Sei Basi Giuridiche per il Trattamento dei Dati Personali?

Il GDPR delinea sei motivi legali per trattare i dati personali:

  1. Il soggetto dei dati ha dato il consenso per trattare i suoi dati per uno scopo specifico.

Il trattamento è necessario per:

  1. Adempiere a un contratto con il soggetto dei dati.
  2. Rispettare un obbligo legale.
  3. Proteggere gli interessi vitali di qualcuno.
  4. Svolgere un compito di interesse pubblico.
  5. Interessi legittimi dell’azienda, tranne quando tali interessi sono superati dai diritti del soggetto dei dati.

Esaminiamo alcuni di questi motivi legali di trattamento più in dettaglio. Il consenso è una delle basi giuridiche più comunemente utilizzate per esso.

Quando si fa affidamento sul consenso, è fondamentale che sia specifico, informato e inequivocabile. Le caselle pre-selezionate o il consenso implicito non sono validi ai sensi del GDPR.

Per esempio, se un sito web vuole utilizzare i cookie per tracciare il comportamento degli utenti a fini pubblicitari, dovrebbe ottenere il consenso chiaro e affermativo dell’utente.

Un banner che dice “usando questo sito, accetti i cookie” non sarebbe sufficiente. Invece, l’utente deve cliccare su un pulsante “Accetto”. Dovrebbero essere informati su quali informazioni saranno raccolte e come verranno utilizzate prima che ciò avvenga.

Un’altra base giuridica frequentemente utilizzata sono gli interessi legittimi. Le aziende possono utilizzare i dati personali senza permesso se hanno una ragione valida. Questo è consentito a condizione che non danneggi i diritti e gli interessi dell’individuo.

Gli interessi legittimi potrebbero includere cose come marketing, prevenzione delle frodi o sicurezza IT. Tuttavia, le aziende devono bilanciare i loro interessi con quelli della persona.

Gli interessi legittimi non possono essere utilizzati come base giuridica se esiste un modo meno invasivo per ottenere lo stesso risultato.

Per esempio, un’azienda potrebbe sostenere di avere un interesse legittimo nell’analizzare i dati dei clienti per il marketing diretto.

Tuttavia, se un cliente ha chiaramente obiettato a ricevere comunicazioni di marketing, gli interessi legittimi dell’azienda probabilmente verrebbero superati dal diritto dell’individuo di obiettare.

L’azienda dovrebbe trovare una diversa base per questo trattamento legale, come il consenso, o cessare completamente la gestione.

Scegliere la Giusta Base per il Trattamento Legale

Identificare la legalità di ciascuna attività di trattamento è cruciale per la compliance al GDPR.

La base legale appropriata per il trattamento dipenderà dalla situazione specifica e dagli scopi del trattamento. In alcuni casi, la base può essere ovvia.

Un esempio è quando un datore di lavoro necessita di trattare i dettagli bancari di un dipendente per i pagamenti salariali. Questo viene fatto sulla base legale di “necessario per il contratto”. 

Altre situazioni possono essere meno chiare. Consideri un’azienda che vuole trattare le informazioni dei clienti per il marketing.

Potrebbero essere in grado di utilizzare gli interessi legittimi come loro base giuridica, sostenendo che i clienti ragionevolmente si aspettino questo trattamento e che abbia un impatto minimo sulla privacy.

Tuttavia, il consenso potrebbe essere una scelta più sicura, specialmente se il marketing riguarda argomenti sensibili o se i clienti non si aspettano ragionevolmente che le loro informazioni siano utilizzate in questo modo.

È importante che le aziende decidano la base prima di iniziare il trattamento legale e documentino la loro decisione. Non è accettabile cercare una legalità dopo il fatto.

La legalità del trattamento influenza anche i diritti degli individui. Per esempio, se un’azienda si basa sul consenso, gli individui hanno un diritto più forte di vedere i loro dati cancellati.

Categorie Speciali di Dati Personali

Vale la pena notare che il GDPR ha regole speciali per determinate categorie sensibili di risorse, note come “dati di categoria speciale”.

Questo include informazioni che rivelano l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici o sanitari.

Il GDPR vieta il trattamento di questi dati a meno che non si applichi una delle condizioni specifiche dell’Articolo 9 del GDPR.

Queste condizioni includono il consenso esplicito, necessario ai fini del diritto del lavoro, interessi vitali, interesse pubblico sostanziale e altro.

L’asticella per gestire i dati speciali è molto più alta, e le aziende devono essere estremamente caute quando gestiscono questo tipo di informazioni sensibili.

Per esempio, un’app sanitaria che raccoglie dati sulle condizioni mediche degli utenti starebbe analizzando dati di categoria speciale.

Devono ottenere il permesso degli utenti e avere una forte ragione legale per analizzare dati sensibili.

Errori Comuni nella Determinazione della Legalità del Trattamento

Un errore comune è pensare che la gestione dei dati per scopi commerciali li renda automaticamente legali ai sensi del GDPR. Tuttavia, la necessità da sola non è sufficiente per la legalità.

Il trattamento legale deve rientrare in una delle sei basi stabilite dal GDPR.

Un altro problema è quando le aziende cercano di fare affidamento su una legalità che non si applica realmente.

Un’azienda potrebbe dire che la raffinazione è necessaria per un contratto. Tuttavia, se la raffinazione non è cruciale per fornire il servizio, la pretesa non è valida.

Allo stesso modo, le aziende a volte cercano di usare il consenso come base giuridica “onnicomprensiva”, anche in casi in cui il consenso non è dato liberamente o in cui un’altra base giuridica sarebbe più appropriata.

Un terzo problema è non essere abbastanza specifici sulla legalità. Le aziende dovrebbero collegare ciascuna attività di gestione specifica a una legalità.

Dichiarazioni generali come “trattiamo dati basati su interessi legittimi” non sono sufficienti. L’azienda deve spiegare quale sia l’interesse legittimo e come si applichi a ciascun tipo di gestione.

Migliori Pratiche per Garantire il Trattamento Legale

Per conformarsi alle regole del GDPR sulla legalità, le aziende dovrebbero:

  • Mappare ciascuna delle loro attività e identificare la base giuridica per ciascuna. 
  • Quando si fa affidamento sul consenso, assicurarsi che le procedure per ottenere il consenso soddisfino gli standard del GDPR.
  • Quando si fa affidamento su interessi legittimi, documentare come hanno bilanciato i loro interessi con i diritti degli individui.
  • Evitare dichiarazioni generali sulla legalità e essere specifici per ciascuna attività di gestione distinta.
  • Consentire agli individui di esercitare i loro diritti in base alla base giuridica applicabile.
  • Rivedere regolarmente le attività e le basi giuridiche per garantire la conformità continua.

Documentare le Basi Giuridiche

Documentare la legalità per ciascuna attività è una parte fondamentale della conformità al GDPR. Questa documentazione dovrebbe spiegare:

  • Quali PII vengono trattati
  • Lo scopo dell’analisi
  • Quale base giuridica si applica e perché
  • Come l’azienda sosterrà i diritti individuali in base alla legalità
  • La valutazione degli interessi legittimi dell’azienda (se applicabile)

Mantenere e aggiornare questa documentazione nel tempo è necessario. È una prova importante di conformità che può essere fornita alle autorità di controllo su richiesta.

L’Importanza del Trattamento Legale

Determinare la base per il trattamento legale delle informazioni è un pilastro della conformità al GDPR. Le aziende devono avere una base giuridica valida per evitare reclami, richieste di accesso e multe da parte dei regolatori.

Ottenere la legalità giusta è essenziale per costruire la fiducia dei clienti ed evitare danni alla reputazione.

Inoltre, stabilire basi per il trattamento legale è semplicemente una buona igiene dei dati. Le aziende possono migliorare come gestiscono le informazioni riflettendo criticamente sulle ragioni per cui le utilizzano e selezionando la migliore base giuridica. Questo processo implica considerare lo scopo delle informazioni e garantire che siano in linea con i requisiti legali.

Questo stabilisce le basi per trarre maggiore valore dalle risorse rispettando i diritti e le aspettative degli individui.

La spinta del GDPR per il trattamento legale alla fine beneficia sia i consumatori che le imprese. I consumatori ottengono maggiore trasparenza e controllo su come vengono utilizzate le loro informazioni.

E le aziende possono operare con maggiore certezza e costruire la fiducia dei clienti. Le aziende che gestiscono i dati dei residenti nell’UE devono dare priorità all’istituzione di motivi legittimi per il trattamento dei PII. Questo richiede investimento di tempo e impegno.

Successivo

Elaboratore dei Dati

Elaboratore dei Dati

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informazioni generali
Vendite
Servizio clienti e supporto tecnico
Richieste di collaborazione e alleanza
Informazioni generali:
info@datasunrise.com
Vendite:
sales@datasunrise.com
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
partner@datasunrise.com