II trattamento è lecito solo se e nella misura in cui ricorra almeno una delle seguenti condizioni:

• Consenso specifico per una o più finalità
• Il trattamento è necessario all'esecuzione di un contratto di cui l'interessato parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• Il trattamento è necessario per assolvere  gli obblighi specifici del titolare del trattamento in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
• Il trattamento è necessario per tutelare  un interesse  vitale dell'interessato  o  di  un'altra persona fisica;
• Per l’esecuzione di in compito di interesse pubblico;
• Per il perseguimento di un legittimo interesse del titolare.

Il consenso deve richiedere  una qualche forma di chiara azione affermativa. Silenzio, caselle pre-spuntate o inattività non costituiscono consenso. Il consenso deve essere verificabile: va mantenuta una registrazione di quando e come è stato dato. Gli interessati hanno il diritto di revocare il consenso in qualsiasi momento tramite una procedura chiara e semplice.

Se il trattamento è basato sul consenso, per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Deve essere accettato un consenso per ogni finalità di trattamento preceduto dalla relativa informativa.

All'interno di un contratto scritto la richiesta di consenso deve essere presentata in modo chiaramente distinguibile e con un linguaggio semplice e chiaro.

1. Il diritto di essere informato riflette il principio che richiede trattamenti leciti, corretti e trasparenti nei confronti dell'interessato ("liceità, correttezza e trasparenza").
2. Diritto di accesso dell'interessato Il titolare, su richiesta da parte dell’interessato, deve:
   • confermare che sia o meno in corso un trattamento di dati personali che lo riguardano;
   • in caso affermativo fornire copia dei dati assieme ad altre informazioni (finalità del trattamento, destinatari...).
3. Diritto di accesso Il titolare, su richiesta da parte dell’interessato, deve:
   • confermare che sia o meno in corso un trattamento di dati personali che lo riguardano;
   • in caso affermativo fornire copia dei dati assieme ad altre informazioni (finalità del trattamento, destinatari...).
4. Diritto di rettifica L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
5. Diritto alla cancellazione (“diritto all'oblio") Se sussistono validi motivi l'interessato ha il diritto di ottenere, senza ingiustificato ritardo, dal titolare del trattamento la cancellazione dei dati personali che lo riguardano.
6. Diritto di limitazione di trattamento. In alcuni casi specifici l’interessato ha il diritto di ottenere la limitazione del trattamento.
7. Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento. Comunicazione a ciascuno dei destinatari cui sono stati trasmessi i dati personali delle eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'articolo 16, 17 e 18.
8. Diritto alla portabilità dei dati. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e di trasmetterli ad un altro titolare. Se tecnicamente fattibile, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro.
9. Diritto di opposizione L'interessato ha il diritto di opporsi al trattamento dei dati personali che lo riguardano. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento.
10. Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

.

Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Le richieste dell’interessato sono gratuite.

Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

• addebitare un contributo spese ragionevole;
• oppure rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
   • l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
   • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
   • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
   • qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
   • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
   • ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
   • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
   • l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
   • qualora il trattamento sia basato sul consenso, l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
   • il diritto di proporre reclamo a un'autorità di controllo;
   • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

L'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato