Ogni progettazione di un nuovo trattamento di dati personali, da parte di un’impresa o di una Pubblica Amministrazione, deve necessariamente avere il suo punto di inizio nella determinazione e specificazione della finalità che funge da “stella polare” della progettazione del trattamento.
È un primo passo fondamentale che ogni titolare del trattamento dovrebbe seguire per garantire un’effettiva conformità alla normativa privacy.
Vediamo perché?
Indice
- 1. Privacy by design
- 2. La limitazione delle finalità è la pietra angolare della protezione dei dati
- 3. L’uso “compatibile”, fattore di bilanciamento tra diritti degli interessati ed esigenze di flessibilità dei titolari
- 4. Gli scopi devono essere espliciti
- 5. Determinare e specificare la finalità per garantire trasparenza e prevedibilità
- 6. La finalità deve sempre essere dettagliata
- 7. La legittimità della finalità è un requisito ampio
1. Privacy by design
Il principio fondante di privacy by design impone che ogni Organizzazione che riveste il ruolo privacy di titolare del trattamento, nel progettare un nuovo processo aziendale in cui girano dati personali, deve avere massima cura nel pianificare che ogni operazione di trattamento sia allineata ai principi di protezione dei dati personali fissati dall’art. 5 del GDPR.
Il primo passo fondamentale di questa pianificazione è, necessariamente, la determinazione e la specificazione della finalità che orienta la progettazione del trattamento determinandone, contestualmente, i limiti.
Potrebbero interessarti anche:
- La tutela giuridica del diritto alla privacy
- Privacy e diritto all’oblio: riservatezza nei social media
2. La limitazione delle finalità è la pietra angolare della protezione dei dati
La determinazione e specificazione dello scopo del trattamento è un primo passo essenziale nell’applicazione della normativa in materia di data protection poiché, essendo la “ragion d’essere” del trattamento, costituisce un prerequisito per l’applicazione degli altri principi di protezione dei dati personali, tra cui la minimizzazione, l’esattezza ed il periodo di conservazione dei dati raccolti.
Il principio della limitazione delle finalità, che è concepito per stabilire i limiti entro i quali i dati personali raccolti per una determinata finalità possono essere trattati e possono essere ulteriormente utilizzati, ha due componenti:
a. il titolare del trattamento deve raccogliere i dati solo per scopi determinati, espliciti e legittimi, e,
b. una volta raccolti, gli stessi dati non devono essere ulteriormente trattati in modo incompatibile con tali finalità.
Di solito, quando condividono i loro dati personali con altri, gli interessati hanno un’aspettativa sugli scopi per i quali gli stessi dati verranno utilizzati.
Onorare queste aspettative è certamente utile per preservare la fiducia e la certezza del diritto.
Questo è il motivo per cui la limitazione delle finalità è una salvaguardia così importante, una vera e propria pietra angolare della protezione dei dati.
In effetti, il principio della limitazione delle finalità inibisce la c.d. “mission creep” (letteralmente missione strisciante) i.e. l’utilizzo dei dati personali disponibili al di là degli scopi per i quali sono stati inizialmente raccolti[1].
3. L’uso “compatibile”, fattore di bilanciamento tra diritti degli interessati ed esigenze di flessibilità dei titolari
Comunque, d’altra parte, è pur vero che i dati già raccolti possono essere effettivamente utili anche per altri scopi, non specificati inizialmente.
Pertanto, c’è anche un valore nel consentire, entro limiti accuratamente bilanciati, un certo grado di utilizzo aggiuntivo.
Ecco perché il divieto di utilizzo di dati “incompatibili” fissato dall’articolo 5, paragrafo 1, lettera b) del GDPR, non esclude del tutto nuovi e diversi usi dei dati, a condizione che ciò avvenga entro i parametri di compatibilità.
Il principio della limitazione delle finalità – che include la nozione di uso compatibile – richiede che in ogni situazione in cui si consideri un ulteriore uso, si faccia una distinzione tra usi aggiuntivi che sono “compatibili” e altri usi, che dovrebbero rimanere “incompatibili”.
Appare così chiaro come il principio della limitazione delle finalità sia stato concepito per offrire un approccio equilibrato che mira a conciliare l’esigenza di prevedibilità e certezza del diritto in merito alle finalità del trattamento da un lato e l’esigenza pragmatica di una certa flessibilità dall’altro.
4. Gli scopi devono essere espliciti
Gli scopi della raccolta non devono essere specificati solo nella mente dei titolari del trattamento che raccolgono i dati ma devono anche essere resi espliciti. In altre parole, devono essere chiaramente rivelati, spiegati o espressi in qualche forma intelligibile.
Ciò dovrebbe avvenire non oltre il momento in cui avviene la raccolta dei dati personali.
L’obiettivo finale di questo requisito è garantire che le finalità siano specificate senza vaghezza o ambiguità quanto al loro significato o intento.
Ciò che il titolare del trattamento intende realizzare deve quindi essere chiaro e non deve lasciare dubbi o difficoltà di comprensione.
La specificazione delle finalità deve, in particolare, essere espressa in modo tale da essere intesa allo stesso modo non solo dal titolare del trattamento (compreso tutto il personale autorizzato al trattamento) e da eventuali terzi, ma anche dalle Autorità di controllo e dagli interessati.
Si dovrebbe, pertanto, prestare particolare attenzione per garantire che qualsiasi specificazione dello scopo sia sufficientemente chiara per tutti i soggetti coinvolti, indipendentemente dal loro diverso background culturale/linguistico, dal loro livello di comprensione o da esigenze particolari.
Il requisito che le finalità siano specificate “esplicitamente” contribuisce alla trasparenza e alla prevedibilità e consente di identificare in modo univoco i limiti su come i titolari del trattamento possono utilizzare i dati personali raccolti, in un’ottica di tutela degli interessati.
Ciò aiuta tutti (i.e. i responsabili del trattamento che trattano i dati per conto del titolare nonché gli interessati, le autorità di controllo e i terzi) ad avere una comprensione comune di come i dati possono essere utilizzati e, contestualmente, riduce anche il rischio che le aspettative degli interessati differiscano da quelle del titolare del trattamento.
In molte situazioni, il requisito consente inoltre agli interessati di compiere scelte informate, consentendo loro di rivolgersi ad un’azienda che utilizza i dati personali per un insieme limitato di scopi piuttosto che ad un’altra che utilizza i dati personali per una più ampia varietà di finalità[2].
5. Determinare e specificare la finalità per garantire trasparenza e prevedibilità
La specificazione della finalità e il concetto di uso compatibile, stabilendo limiti su come i titolari del trattamento possono utilizzare i dati, contribuiscono quindi in concreto a proteggere gli interessati, rafforzando la correttezza e garantendo la trasparenza e la prevedibilità dei trattamenti.
Esiste una forte connessione tra trasparenza e specificazione dello scopo.
Quando lo scopo specificato è ben distinguibile e condiviso con gli interessati, le salvaguardie possono essere pienamente efficaci ed inoltre la trasparenza effettiva della finalità non solo garantisce la prevedibilità ma consente, anche, il controllo da parte degli interessati[3].
E’ evidente che il controllo dell’interessato è possibile solo quando lo scopo del trattamento dei dati è sufficientemente chiaro e prevedibile. Se gli interessati comprendono appieno le finalità del trattamento, possono esercitare i propri diritti nel modo più efficace, potendo, e.g., opporsi al trattamento o richiedere la correzione o la cancellazione dei propri dati.
Inoltre, se uno scopo è sufficientemente specifico e chiaro, le persone sapranno cosa aspettarsi, i.e. il modo in cui i dati verranno trattati sarà prevedibile.
Ciò conferisce certezza giuridica a tutti i players dell’ecosistema privacy: agli interessati nonchè agli autorizzati e ai responsabili del trattamento, oltre che all’Autorità di controllo.
Peraltro la prevedibilità è rilevante anche quando si valuta la compatibilità di ulteriori attività di trattamento. In generale, l’ulteriore trattamento non può essere considerato prevedibile se:
a. non è sufficientemente correlato allo scopo originario e
b. non soddisfa le ragionevoli aspettative degli interessati al momento della raccolta, in base al contesto della raccolta[4].
6. La finalità deve sempre essere dettagliata
La finalità della raccolta dei dati deve anche essere sufficientemente dettagliata al fine di:
a. determinare quale tipo di trattamento è incluso nella finalità specificata;
b. consentire di valutare il rispetto della legge e applicare le garanzie di protezione dei dati.
Per questi motivi, certamente non soddisfa il criterio della specificità uno scopo che sia vago o generico, come e.g. “migliorare l’esperienza degli utenti”, “scopi di marketing”, “scopi di sicurezza informatica”, “sicurezza urbana” – senza ulteriori dettagli -.
QUINDI ATTENZIONE: ogni singola finalità dovrebbe essere specificata in modo sufficientemente dettagliato, tanto da poter:
a. valutare se la raccolta di dati personali orientata a tale scopo sia conforme alla legge;
b. stabilire quali garanzie debbano essere applicate.
Ciò detto, il grado di dettaglio in cui una finalità dovrebbe essere specificata dipende dal particolare contesto in cui i dati sono raccolti e dai dati personali utilizzati.
In alcuni casi chiari, un linguaggio semplice sarà sufficiente per fornire una specificazione appropriata, mentre in altri casi potrebbero essere richiesti maggiori dettagli.
Il fatto che le informazioni debbano essere precise, però, non significa che specificazioni più lunghe e dettagliate siano sempre necessarie o utili.
In effetti, una descrizione dettagliata, a volte, può anche essere controproducente. Ciò può verificarsi in particolare se le specificazioni scritte e dettagliate dello scopo sono eccessivamente “legalistiche” e forniscono “esclusioni di responsabilità” piuttosto che informazioni utili agli interessati e ad altre parti interessate.
Alla luce di ciò, l’approccio di un “avviso stratificato” agli interessati spesso funziona bene, soprattutto su Internet, ed è stato quindi raccomandato in molte situazioni dai Garanti Europei[5]. Ciò significa che le informazioni chiave sono fornite agli interessati in modo molto conciso e di facile utilizzo, mentre informazioni aggiuntive (magari tramite un collegamento a una descrizione più dettagliata del trattamento su un’altra pagina Internet) sono fornite a beneficio di coloro che richiedono ulteriori chiarimenti.
7. La legittimità della finalità è un requisito ampio
I dati personali devono inoltre essere raccolti per scopi legittimi.
Tale requisito va oltre un semplice rinvio all’articolo 6 del GDPR che delinea i criteri per legittimare il trattamento dei dati ed elenca sei diverse basi giuridiche, che vanno dal consenso dell’interessato al legittimo interesse.
Affinché le finalità siano legittime, il trattamento, certamente, deve – in tutte le sue diverse fasi e in ogni momento – basarsi su almeno uno dei fondamenti giuridici previsti dall’articolo 6 del GDPR. Tuttavia, il requisito della legittimità delle finalità è più ampio del campo di applicazione dello stesso articolo 6.
Quindi le finalità determinate ed esplicite dovranno essere conformi a tutte le disposizioni dell’Ordinamento Unionale e di quello Nazionale.
Il requisito di legittimità implica quindi che le finalità debbano essere “a norma di legge” nel senso più ampio. Ciò include tutte le forme di diritto scritto e comune, la legislazione primaria e secondaria, i principi costituzionali e i diritti fondamentali[6].
>>>Per approfondire<<<
Gli adempimenti per imprese, professionisti e P.A.
dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018)
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
20.90 €
- [1]
Paragrafo I dell’Opinion del WP29, n.03/2013 on purpose limitation (WP203).
- [2]
Paragrafo III.1.2 dell’Opinion del WP29, n.03/2013 on purpose limitation (WP203).
- [3]
Paragrafo II.3 dell’Opinion del WP29, n.03/2013 on purpose limitation (WP203).
- [4]
Vds. art. 6, paragrafo 4 del GDPR.
- [5]
Vds. punti 17 e 18 delle Linee Guida WP 260 rev. 01 sulla trasparenza nonché punti 110-119 delle Linee Guida EDPB 3/2019 versione 2.0 sul trattamento dei dati personali attraverso dispositivi video
- [6]
Paragrafo III.1.3 dell’Opinion del WP29, n.03/2013 on purpose limitation (WP203).
Scrivi un commento
Accedi per poter inserire un commento