Il Regolamento muove dal presupposto che il trattamento dei dati è illecito se non vi è una base legale che lo consente.
Il consenso non è più l’unica base legale ma ve ne sono altre poste tutte sullo stesso piano del consenso. La base legale è diversa a seconda che si trattino dati comuni o dati sensibili.
La base legale per i dati comuni può essere rappresentata da uno dei seguenti elementi (art. 6.1):
– consenso dell’interessato;
– trattamento necessario per l’esecuzione di un contratto o di misure precontrattuali (ad es. invio preventivi);
– trattamento necessario per adempiere ad un obbligo legale;
– trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
– trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
– trattamento necessario per un legittimo interesse del titolare se non prevalgono gli interessi e i diritti dell’interessato.
Tra i trattamenti che possono ritenersi leciti per esercizio di un legittimo interesse viene incluso anche il marketing diretto se effettuato a favore di clienti che possano attendersi un tale tipo di comunicazione in ragione del rapporto intercorso tra le parti. In ogni caso l’interessato deve essere sempre informato del suo diritto di opporsi a questo trattamento esercitando l’opt-out.
La base legale per i dati sensibili può essere rappresentata da uno dei seguenti elementi (art. 9.2):
– consenso esplicito dell’interessato;
– trattamento necessario per adempiere obblighi o esercitare diritti in materia di diritto del lavoro e della sicurezza sociale nella misura in cui è autorizzato dal diritto dell’Unione;
– trattamento necessario per tutelare interessi vitali dell’interessato o di altra persona fisica;
– trattamento effettuato nelle sue legittime attività e con adeguate garanzie da una fondazione, associazione o ente senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali se riguarda membri, ex membri o persone che hanno contatto con l’ente stesso.
Nel caso in cui l’art. 6.1 preveda garanzie maggiori rispetto all’art. 9.2, si applicheranno al trattamento dei dati sensibili anche le previsioni del primo articolo che si cumulano alle seconde.