Guida VI al Regolamento Privacy UE 2016/679: la disciplina del consenso al trattamento di dati facenti parte di categorie particolari, di minori e relativi a condanne penali o reati

Guida VI al Regolamento Privacy UE 2016/679: la disciplina del consenso al trattamento di dati facenti parte di categorie particolari, di minori e relativi a condanne penali o reati
Guida VI al Regolamento Privacy UE 2016/679: la disciplina del consenso al trattamento di dati facenti parte di categorie particolari, di minori e relativi a condanne penali o reati

Indice

1. Introduzione

2. Novità rispetto alla Direttiva 46/95/CE

3. Trattamento di categorie particolari di dati, o relativi a condanne penali o reati

3. Consenso del minore

4. Trasferimento dei dati verso un paese terzo o un’organizzazione internazionale

 

Data la delicatezza della disciplina del consenso al trattamento dei dati, si è ritenuto opportuno approfondire la tematica dividendola in due guide: dopo la scorsa guida, in cui sono stati trattati gli aspetti del consenso in generale e quello relativo ai semplici dati personali (Guida V al Regolamento Privacy UE 2016/679: la disciplina generale del consenso al trattamento dei dati personali), si approfondisce ora la disciplina del consenso con riferimento al trattamento di categorie specifiche di dati.

 

Novità rispetto alla Direttiva 46/95/CE

Secondo la Direttiva del 1995, precisamente all’articolo 8, nella nozione “categorie particolari di dati” rientrano i dati personali rivelatori dell’origine razziale o etnica, delle opinioni politiche, delle convinzioni religiose o filosofiche, dell’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.

La dizione “categorie particolari di dati” è stata mantenuta nel nuovo Regolamento all’articolo 9, ma ora comprende anche i dati genetici e biometrici intesi a identificare in modo univoco una persona fisica. Nel Regolamento sono inoltre introdotti nuovi articoli riguardanti il trattamento di dati personali relativi a minori d’età (articolo 8) e riferiti a condanne penali e reati (articolo 10).

 

Trattamento di categorie particolari di dati o relativi a condanne penali o reati

Come viene evidenziato nell’ultima guida al Regolamento (Guida V al Regolamento Privacy UE 2016/679: la disciplina generale del consenso al trattamento dei dati personali), per le normali tipologie di dati personali, tranne in casi eccezionali, il consenso del soggetto interessato è sufficiente a rendere legittimo il trattamento: non deve sussistere alcun dubbio in relazione al fatto che il soggetto interessato abbia prestato il proprio consenso, ma la volontà può desumersi validamente anche da comportamenti concludenti dell’interessato, mediante azioni positive inequivocabili.

Per le altre categorie di dati, al contrario, non bastano i comportamenti concludenti ed il trattamento è legittimo solamente quando il consenso prestato è esplicito.

Tali dati, essendo per loro natura particolarmente sensibili per i diritti e le libertà fondamentali,  meritano una specifica protezione: come anticipato, questi “dati particolari”, elencati all’articolo 9, sono quelli adatti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché a trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. In tal caso il consenso sarà valido solo se espresso mediante azione positiva o dichiarazione, ancor meglio se in forma scritta.

Altra categoria di dati, specificamente indicata dall’Articolo 10, è quella relativa alle condanne penali e ai reati: in questi casi il trattamento può avvenire soltanto sotto il controllo dell’autorità pubblica o se è autorizzato dal diritto dell’Unione o degli Stati membri, quando tale diritto prevede garanzie appropriate per le libertà degli interessati. Quindi, un eventuale registro delle condanne penali deve (e può) essere tenuto solamente sotto il diretto controllo della pubblica autorità.

 

Consenso del minore

In aggiunta rispetto alla Direttiva, il Regolamento fornisce una disciplina ad hoc per il trattamento dei dati del minore, tenendo conto della maggiore protezione necessaria in rapporto ad una personalità in fieri.

L’importanza che assume nel nuovo Regolamento la tutela dei dati dei minori è già anticipata dal considerando (38), secondo cui: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore.”.

L’articolo 8 del Regolamento determina le condizioni applicabili al consenso dei minori in relazione a tutti quei servizi facenti parte della società dell’informazione. In tale articolo è stabilito che il presupposto indefettibile per la validità del consenso è la capacità giuridica del soggetto che lo conferisce.

Qualora il minore abbia un’età inferiore ai 16 anni, il trattamento dei dati personali è considerato lecito solamente se vi sia stata una autorizzazione da parte del titolare della responsabilità genitoriale; tale regola è derogabile dagli Stati membri, che possono stabilire, ai fini del consenso, un’età diversa purché non inferiore i tredici anni.

Il compito del titolare non deve esaurirsi nel raccogliere il consenso, ma comprende anche l’obbligo accessorio di vigilare sulla successiva esecuzione del trattamento in maniera lecita ed attinente alle norme.

Trasferimento dei dati verso un paese terzo o un’organizzazione internazionale

Il trasferimento di dati personali verso un paese terzo rispetto agli Stati Membri o verso organizzazioni internazionali è materia attinente il consenso, ma merita una analisi più diffusa, che attueremo in una Guida specifica.

In questa sede ci limitiamo a dire che il trasferimento dei dati verso un paese terzo o un’organizzazione internazionale è generalmente ammesso:

  • se la Commissione ha deciso che questi garantiscono un livello di protezione adeguato (articolo 45 del Regolamento);
  • se il responsabile del trattamento può fornire garanzie adeguate (articolo 46);
  • se l’autorità di controllo competente ha approvato le binding corporate rules di un gruppo societario (articolo 47).

Inoltre, in mancanza di questi presupposti, il trasferimento transfrontaliero è realizzabile solo in caso di deroghe ammesse in specifiche situazioni, elencate all’articolo 49. Tra queste, al comma 1 a), è prevista la possibilità di attuare il trasferimento anche quando vi sia l’espresso consenso dell’interessato.

In tal caso il consenso sarà valido solo se l’interessato è stato ampiamente informato dei rischi legati alla mancanza di una decisione di adeguatezza della Commissione e di garanzie adeguate.