La legittimità o meno di un trattamento di dati si fonda sulla legittimità della finalità del trattamento stesso. La finalità deve essere determinata ed esplicita; il titolare del trattamento (art. 4, GDPR, comma 7) è il soggetto che determina le finalità e i mezzi del trattamento. All’art. 5, comma 2 il Regolamento dispone che i dati debbano essere raccolti per “finalità esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”. La finalità del trattamento deve essere comunicata in via preventiva all’interessato attraverso l’informativa, affinché sia soddisfatte le condizioni previste all’art. 12 del GDPR “informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”. Tali informazioni includono
67 N. Pagliarulo, Big Data, Privacy by Design and by Default, Corso di alta formazione “Web Security and Privacy Officer”, Convegno “Cyber Security and Data Protection”, Università di Bologna, 2017.
76
quelle riguardanti i casi in cui i dati siano raccolti presso l’interessato, in cui i dati siano ottenuti attraverso un altro soggetto, le modalità di accesso, di rettifica, di esercizio del diritto all’oblio, di limitazione del trattamento, di obbligo di notifica, di diritto alla portabilità dei dati, diritto di opposizione, processo decisionale automatizzato e profilazione, nonché di comunicazione di una violazione dei dati personali all’interessato. Stabilire una nuova base giuridica (art. 6, GDPR), così come mutare la finalità del trattamento richiede un nuovo consenso da parte degli interessati, che al fine una completa trasparenza devono essere informati della gestione dei propri dati anche successivamente alla loro raccolta. All’art. 5 della Convenzione 108 del 1981, il comma 2 esprime come i dati raccolti debbano essere utilizzati per fini “determinati e legittimi” e che non ne sia consentito un uso “incompatibile” con tali fini, lasciando dunque un piccolo margine di interpretazione sul grado di compatibilità accettabile tra un nuovo fine e quello inizialmente statuito. Come espresso all’art. 6, comma 4 del Regolamento 2016/679, qualora un trattamento fondato sul consenso dell’interessato, o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata, si discosti nei fini da quelli in principio adottati, diventa necessaria una verifica di compatibilità con la finalità iniziale. Tale compito, in capo al titolare del trattamento, richiede una analisi del nesso a collegamento tra le due finalità, del contesto di raccoglimento dei dati, della natura dei dati stessi, delle possibili conseguenze del nuovo trattamento e della presenza di garanzie adeguate a tutela dell’interessato (come evidenziato nell’art. 89 del Regolamento, deroghe alle garanzie dell’interessato enunciate negli artt. 15 – 21 sono consentite solo e limitatamente per trattamenti finalizzati a fini di ricerca scientifica, storica, a fini statistici o per finalità di archiviazione nel pubblico interesse).
77
4.6: Qualità dei dati
Il principio della qualità dei dati, come abbiamo anticipato, introdotto dall’art. 5 della Convenzione 108, concerne gli aspetti di minimizzazione dei dati, esattezza dei dati e limitazione della conservazione. Tali aspetti sono oggi regolati dal GDPR.
Minimizzazione dei dati, art. 5, comma 1, lettera c): Il raccoglimento dei dati deve attenersi a quelle informazioni “pertinenti e limitate” a quanto necessario rispetto alle finalità per le quali sono trattati. I dati personali raccolti devono essere conservati solo per il periodo di tempo necessario al trattamento.
Limitazione della conservazione: Qualora il titolare sia interessato a prolungarne la conservazione, dovrà procedere alla loro anonimizzazione (processo che rende impossibile risalire all’interessato, togliendo così ai dati lo status di dato personale) oppure alla loro pseudonimizzazione (il dato continua in questo caso a rientrare nella categoria di dato personale, ma è soggetto a tutele minori, in quanto attraverso la pseudonimizzazione, in caso di violazione è molto complesso risalire all’interessato).
Esattezza dei dati, art. 5, comma 1, lettera d): I dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati. Allo stesso modo, il Decreto Legislativo 3 Giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”, all’art. 4 rubricato “Modalità di raccolta e registrazione dei dati” dispone che è necessario adottare “idonee procedure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza e l’esattezza dei dati comunicati”. Viene sottolineata inoltre l’importanza di verifiche periodiche di cadenza almeno annuale (art. 13, comma 7), nonché adottato un “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” in cui si individuano modalità finalizzate ad una raccolta di dati pertinenti ed esatti. Linee guida ed indicazioni per un efficace
78
controllo e verifica dell’esattezza dei dati sono contenute nel Considerando 71 del GDPR in cui si insiste sull’aspetto non solo dell’esattezza dei dati nel momento del raccoglimento, ma su pratiche di analisi continuativa di essi “è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato”. Attraverso inoltre l’istituto della rettifica dei dati personali inesatti che lo riguardano (art. 16) e della limitazione del trattamento (art. 18) viene rafforzato ulteriormente il diritto all’esattezza dei dati, così come dalle sostanziose sanzioni pecuniarie in caso di violazioni previste dall’art. 89.