Quando vengono trattati i dati personali è necessario identificare quale base giuridica giustifica il trattamento, vale a dire l'indicazione delle condizioni che legittimano il trattamento dei dati personali.
Le basi giuridiche legittime previste dalla GDPR sono:
- consenso dell'interessato: quando il trattamento dei dati viene esplicitamente autorizzato dall'interessato per una o più specifiche finalità (ad esempio, se devi usare i dati dell'interessato per finalità di marketing)
- esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall'interessato (ad esempio, se devi spedire dei beni acquistati da un cliente avrai la necessità di raccogliere i suoi dati personali come nome, cognome, indirizzo, etc.)
- adempimento obbligo di legge: quando il trattamento dei dati è imposto da una legge, regolamento, etc. (ad esempio, se devi fatturare l'acquisto di un bene al cliente, dovrai raccogliere i suoi dati fiscali, etc.)
- interesse legittimo del Titolare: quando il trattamento è necessario per esigenze specifiche del titolare a condizione però che il trattamento non sia eccessivamente invasivo per l'interessato (ad esempio, per installare un sistema di videosorveglianza)
- interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell'interessato o di un'altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell'interessato)
- esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile)