Art. 6 GDPR — Liceità del trattamento

Commento

Il cuore della liceità

L'art. 6 GDPR è il fulcro del principio di liceità enunciato all'art. 5, par. 1, lett. a: senza una base giuridica idonea il trattamento è illecito, e qualunque misura di sicurezza, trasparenza o minimizzazione perde efficacia sanante. Le sei basi del par. 1 sono alternative ma non interscambiabili: ciascuna è costruita su presupposti e limiti differenti, e impone obblighi specifici. La scelta della base deve essere documentata ex ante e comunicata all'interessato nell'informativa (artt. 13-14). La giurisprudenza CGUE ha più volte sottolineato che la qualificazione della base è momento essenziale del giudizio di liceità.

Consenso (lett. a)

Il consenso è la base di liceità tipica delle attività di marketing diretto, profilazione non necessaria al servizio, comunicazioni elettroniche e trattamenti di categorie particolari (in combinato con l'art. 9). Le condizioni di validità sono dettate dall'art. 7: revocabilità senza pregiudizio, prova dell'avvenuto consenso, libertà rispetto all'erogazione del servizio. L'EDPB nelle linee guida 5/2020 ha chiarito che cookie wall, scroll-down, opzioni preflaggate e dark patterns non integrano consenso valido. Per i minori si applica l'art. 8.

Contratto (lett. b)

Il trattamento è lecito se necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso. Il test di necessità è stringente: l'EDPB nelle linee guida 2/2019 ha precisato che non basta che il trattamento sia utile o conveniente, deve essere oggettivamente necessario. Per profilazione pubblicitaria, cross-selling o personalizzazione discrezionale del servizio la base contrattuale non è idonea: serve consenso o legittimo interesse. La CGUE ha sanzionato grandi piattaforme per uso improprio della base contrattuale a fini di profilazione comportamentale.

Obbligo legale, vitale, pubblico (lett. c-e)

L'obbligo legale (lett. c) vale per trattamenti imposti da norma di diritto UE o dello Stato membro: ad esempio obblighi fiscali (TUIR), antiriciclaggio (D.Lgs. 231/2007), conservazione documenti contabili. La norma fonte deve indicare il trattamento o renderne necessaria la deduzione, e rispettare proporzionalità. L'interesse vitale (lett. d) copre situazioni di emergenza sanitaria o pericolo immediato per la vita: è base eccezionale, non utilizzabile per scelte ordinarie. L'interesse pubblico (lett. e) sostiene i trattamenti delle PA e dei privati incaricati di pubblici poteri: in Italia la disciplina è integrata dal D.Lgs. 196/2003.

Legittimo interesse (lett. f)

Il legittimo interesse del titolare o di un terzo è base flessibile ma rigorosa: richiede un test di bilanciamento (legitimate interest assessment, LIA) tra l'interesse perseguito e i diritti, libertà e ragionevoli aspettative dell'interessato. La giurisprudenza CGUE ha precisato i criteri: legittimità dell'interesse, necessità del trattamento, prevalenza sull'interesse dell'interessato. Il test va documentato e disponibile su richiesta del Garante. La base non è invocabile dalle autorità pubbliche nei loro compiti istituzionali (par. 1, ultimo periodo). Esempi tipici: sicurezza informatica, prevenzione frodi, marketing diretto verso clienti (considerando 47), gestione interna di gruppo.

Test di compatibilità (par. 4)

L'art. 6, par. 4 disciplina il trattamento per finalità diverse da quelle originarie: se non basato su consenso o su norma di diritto UE/SM, deve essere valutata la compatibilità con la finalità originaria considerando i collegamenti tra le finalità, il contesto della raccolta, la natura dei dati (in particolare se categorie particolari), le possibili conseguenze, le garanzie esistenti (cifratura, pseudonimizzazione). Solo se il test di compatibilità è superato il trattamento ulteriore è lecito senza nuova base. È il meccanismo che permette il riuso dei dati per ricerca, statistica e archiviazione (art. 89) ma impone una valutazione documentata per ogni nuovo impiego dei dati.

Regola pratica e checklist operativa

L'individuazione della base è fondamento di ogni progetto: (i) per ciascuna finalità, scegliere una base motivata; (ii) per il legittimo interesse, redigere LIA documentato; (iii) per il contratto, applicare il test di necessità stretta; (iv) per il consenso, applicare l'art. 7 e tracciare le evidenze; (v) per finalità ulteriori, applicare il test di compatibilità del par. 4. La rotazione tra basi per stessa finalità è red flag in ispezione. Documentare la scelta nel registro art. 30 è obbligo di accountability.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.