Facendo clic su «Accetta», acconsenti alla memorizzazione dei cookie sul tuo dispositivo per migliorare la navigazione del sito, analizzare l'utilizzo del sito e assisterci nelle nostre attività di marketing. Visualizza il nostro Politica sui cookie per ulteriori informazioni.
Preferenze
DeclinoAccetta
article
September 18, 2025
12 min read

GDPR: La tua guida alla scelta di una base giuridica

Una guida pratica per scegliere la base giuridica GDPR corretta per il trattamento dei dati personali, inclusi consenso, contratti e regole sui dati sensibili.

Jovan Stevovic
September 18, 2025
12 min read

Spesso ci viene chiesto se sia necessario il consenso per essere conformi al GDPR. In realtà, il consenso è solo una delle basi giuridiche per il trattamento dei dati personali. Qui, condividiamo le note dei nostri esperti GDPR sulla scelta della base giuridica più appropriata per il trattamento dei dati.

Contesto: Cos'è una Base Giuridica e Perché è Importante

Il GDPR è inteso a proteggere i dati personali di tutti i cittadini dell'UE. Parte dal concetto che tutti hanno diritto alla privacy (questo è anche sancito dalla Convenzione Europea dei Diritti dell'Uomo). Ai sensi del GDPR, un'azienda, un'organizzazione o un'entità ufficiale può "trattare" i tuoi dati personali solo se dispone di una base giuridica per farlo.

"Trattare i dati" è un termine molto ampio che copre l'accesso ai dati; la loro conservazione (su carta o elettronicamente); la loro cancellazione o alterazione; o la loro trasmissione. In pratica, qualsiasi operazione possibile che coinvolga quel dato. Il dato personale è qualsiasi informazione che possa identificare una persona fisica vivente. Questo può includere nomi, indirizzi fisici, indirizzi e-mail, dati sulla posizione, DNA o dati biometrici e molto altro.

Basi Giuridiche (Articolo 6)

L'Articolo 6 del GDPR definisce 6 basi giuridiche per il trattamento dei dati personali. Almeno una di queste deve essere applicata prima che tu sia autorizzato a trattare i dati. Ma nota: i dati più sensibili necessitano di una base giuridica diversa (vedi sotto).

  1. Se hai il consenso dell'utente. Qui, l'utente deve acconsentire allo scopo e all'ambito specifici del trattamento.
  2. Per soddisfare una necessità contrattuale. Ad esempio, un'azienda può trasmettere i tuoi dettagli di contatto a una società di logistica se è necessario per facilitare la consegna di un articolo che hai acquistato.
  3. Al fine di rispettare un obbligo legale. Ad esempio, i datori di lavoro sono spesso obbligati a verificare lo stato di immigrazione di un membro del personale.
  4. Per proteggere gli interessi vitali dell'interessato. Ciò potrebbe applicarsi nel caso di qualcuno che è incosciente dopo un incidente.
  5. Se il trattamento è nell'interesse pubblico o è correlato a un compito ufficiale svolto da un'autorità pubblica. Ad esempio, le autorità fiscali sono autorizzate a richiedere l'accesso a molti dei tuoi registri privati.
  6. Se hai un interesse legittimo nel trattamento dei dati. Questa base può essere utilizzata solo se non viola i diritti e le libertà fondamentali dell'interessato (soprattutto se l'interessato è un minore).

Categorie Speciali di Dati (Articolo 9)

Prima di entrare nei dettagli su quale base giuridica è possibile utilizzare come azienda, analizziamo un altro concetto. Ovvero il dato personale sensibile, che è definito nell'Articolo 9 del GDPR come "categorie speciali di dati". Si tratta di dati relativi a:

"origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, o appartenenza sindacale, e trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona fisica."

Questo è importante perché il trattamento di questi dati è vietato per impostazione predefinita.

Fortunatamente, ci sono una serie di basi giuridiche su cui puoi fare affidamento per trattare questi dati:

  • Con il consenso esplicito dell'interessato. Ciò significa che l'interessato è informato esattamente su quali dati vengono trattati, a quale scopo e deve riconoscere e acconsentire esplicitamente a questo.
  • Se tale trattamento è necessario affinché un datore di lavoro possa adempiere agli obblighi di lavoro e di sicurezza sociale, e alle leggi sulla protezione sociale (e soggetto a adeguate garanzie).
  • Per proteggere gli interessi vitali di un interessato che è fisicamente o legalmente incapace di dare il proprio consenso.
  • Fondazioni, sindacati e organizzazioni senza scopo di lucro sono autorizzati a trattare determinate categorie speciali di dati relative ai propri membri attuali o precedenti.
  • Se i dati sono stati chiaramente resi pubblici dall'interessato (ad esempio, se ha pubblicato informazioni sulla propria salute sui social media).
  • Per l'accertamento, l'esercizio o la difesa di rivendicazioni legali o da parte di un tribunale che agisce in veste giudiziaria.
  • Se esiste un interesse pubblico sostanziale soggetto a varie protezioni ai sensi del diritto dell'UE e nazionale.
  • Al fine di consentire a un datore di lavoro di valutare le capacità mediche e fisiche di un dipendente o candidato.
  • Ai fini della salute pubblica, ad esempio per prevenire gravi minacce alla salute da parte di persone infette che attraversano i confini. (Nota: includere questo aspetto è stato molto lungimirante da parte degli autori del GDPR alla luce della successiva pandemia di Covid-19).
  • Per l'archiviazione di dati per interesse pubblico, ricerca scientifica o storica.

Scegliere una Base per il Trattamento dei Dati

La scelta di una base giuridica idonea come azienda richiede diversi passaggi. Il diagramma di flusso semplificato qui sotto può essere d'aiuto.

Il primo passo nella scelta di una base per il trattamento dei dati è decidere se i dati rientrano nell'Articolo 9 come "categoria speciale" di dati. Per le aziende di salute digitale, questo significa stabilire quali dati sono sensibili e quali no. Questo può essere piuttosto impegnativo e vale sicuramente la pena parlarne con un esperto.

Per i dati sensibili, è necessario verificare se si applica una delle basi giuridiche aggiuntive di cui all'Articolo 9. In caso contrario, avrete bisogno del consenso esplicito dell'utente.

Successivamente, si ripete il processo per tutti i dati che non sono coperti dall'Articolo 9 e si sceglie una base giuridica appropriata di cui all'Articolo 6.

Infine, è necessario predisporre la documentazione richiesta (in particolare una corretta informativa sulla privacy) e mettere in atto tutti i meccanismi necessari. Ad esempio, se fate affidamento sul consenso, è necessario creare un linguaggio di consenso appropriato, assicurarsi che sia visualizzato correttamente nella vostra app e implementare un sistema di logging del consenso per dimostrare che gli utenti hanno effettivamente fornito il consenso.

5 key questions for NIS2 Germany

December 18, 2025
10 min read

La NIS2 entra in vigore anche in Germania

November 21, 2025
12 min read

In che modo l'ambiguità del GDPR penalizza le startup

December 10, 2025
7 min read

Streamline Your Compliance With Chino.io Today

Talk to an Expert
Talk to an Expert

Discover our
Templates

See templates
See templates

Read our Latest Industry Insights

Discover insights from our expert writers.

Read our Blog
Read our Blog
Read our Blog
Read our Blog
Article
10 min read

5 key questions for NIS2 Germany

NIS2 finally became law in Germany in December 2025. Unlike some countries, German NIS2 does not allow for any implementation period.

Read Article
Read Article
Article
12 min read

La NIS2 entra in vigore anche in Germania

La Germania ha finalmente approvato la sua legge NIS2, a lungo ritardata, il 13 novembre. Si prevede che entrerà in vigore nei prossimi due mesi.

Read Article
Read Article
Article
7 min read

In che modo l'ambiguità del GDPR penalizza le startup

Il GDPR è entrato in vigore oltre 7 anni fa. All'epoca, era uno dei regolamenti più rivoluzionari prodotti dall'Unione Europea.

Read Article
Read Article