All’interno della normativa europea in materia di protezione dei dati personali, rappresentata dal GDPR, oltre al ruolo centrale dei concetti di accountability, di privacy by design e di privacy by default, sono altrettanto fondamentali i principi menzionati all’interno dell’articolo 5 del regolamento europeo, che devono essere concretamente rispettati da parte del titolare del trattamento.
Indice degli argomenti
I principi in materia di protezione dei dati personali del GDPR
La normativa europea in materia di privacy (Regolamento (UE) 2016/679, anche noto come GDPR) prevede al suo interno molteplici principi, il cui rispetto da parte dei titolari del trattamento risulta fondamentale per lo svolgimento di qualsiasi attività di trattamento di dati personali – secondo la definizione offerta ex art. 4 GDPR – nonché preliminare rispetto agli adeguamenti formali e di paper compliance a loro riservati.
Accountability
In primo luogo, assume rilievo centrale il principio di accountability di cui all’articolo 24 GDPR, che richiede al titolare di mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] regolamento”. In estrema sintesi, ciò si traduce nella necessità non solo di assicurare la protezione dei dati personali nell’ambito dei trattamenti effettuati, ma anche e soprattutto di rendicontare le scelte effettuate, le modalità dei trattamenti posti in essere, la documentazione adottata ovvero, più in generale, l’effettiva avvenuta conformità alla normativa.
Privacy by design e by default
Inoltre, a norma del successivo articolo 25, al titolare è richiesto il rispetto dei principi di privacy by design e di privacy by default secondo cui, rispettivamente, il titolare deve garantire che la protezione del dato avvenga fin dalla progettazione e che il trattamento abbia a oggetto per impostazione predefinita solo i dati necessari rispetto alla specifica finalità di trattamento.
L’articolo 5 GDPR
Tuttavia, all’articolo 5 della normativa europea si rinvengono ulteriori fondamentali principi, dalla cui concreta applicazione deve muovere qualsiasi attività di trattamento da parte del titolare, anche al fine di non incorrere nella fascia più aspra delle sanzioni amministrative delineate all’art. 83, comma 5, GDPR. Per comprendere la portata di tali principi – e, per quel che qui interessa, la loro realizzazione concreta – molto utile è un esame delle Linee guida rilasciate dal Comitato europeo per la protezione dei dati[1] (EDPB – European data Protection Board) in tema di privacy by design e by default, laddove al paragrafo 3 vengono fornire utili indicazioni interpretative ed esempi con riferimento all’attuazione degli stessi.
Liceità, correttezza e trasparenza: cosa deve fare il titolare
Alla lettera a) del primo comma dell’art. 5 GDPR, viene stabilito come i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (principi di “liceità, correttezza e trasparenza”).
Il primo dei tre principi si sostanzia nella necessaria presenza, alla base di qualsiasi trattamento, di almeno una delle alternative condizioni di liceità di trattamento elencate all’art. 6 GDPR. Che si tratti, ad esempio, del consenso, della necessità di dare esecuzione a un contratto di cui l’interessato è parte o per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento, il titolare deve sempre identificare una base giuridica valida per il trattamento dei dati personali e assicurare che l’intero ciclo di vita del trattamento stesso risulti in linea con la pertinente base giuridica.
Tale condizione di liceità deve peraltro risultare espressa all’interno dell’informativa privacy da sottoporre agli interessati, così come stabilito all’art. 13 e 14 GDPR (cfr. comma 1, lett. c)).
La correttezza, come evidenziato al par. 3.3 delle citate linee guida, “è un principio di natura trasversale secondo cui i dati personali non devono essere trattati in modo ingiustificatamente dannoso, illegittimamente discriminatorio, imprevisto o fuorviante per l’interessato”. In questa prospettiva, il titolare deve assicurarsi di garantire il diritto all’informazione (anche in ottica di trasparenza), mediante la previsione di una corretta informativa, redatta nel rispetto degli artt. 12 e ss. GDPR, nonché la possibilità per l’interessato di esercitare i diritti di cui agli artt. 15 e ss. quali l’accesso, la cancellazione, la portabilità, la rettifica, la limitazione del trattamento.
Esempio pratico: l’azienda di streaming
Nell’ipotesi di un’azienda che gestisce un servizio per l’erogazione di contenuti multimediali in streaming, in cui vengono previste due modalità di abbonamento, una standard e l’altra elevata, per quanto sia accettata una differenziazione nella qualità del servizio, non può essere ammissibile una discriminazione tra le due tipologie di utenti per riscontrare le loro richieste di esercizio diritti. Entrambe le categorie di interessati devono godere di condizioni identiche ai fini dell’esercizio dei diritti e delle libertà di cui alla normativa europea privacy.
Infine, secondo il principio di trasparenza, il titolare deve essere chiaro e trasparente con l’interessato riguardo alle modalità con cui raccoglierà, utilizzerà e condividerà i dati personali. In altre parole, come ben sintetizzato al par. 3.1 delle Linee guida, “trasparenza significa consentire agli interessati di comprendere e, se necessario, avvalersi dei loro diritti come fissati negli articoli da 15 a 22 [del regolamento]”. Ciò si traduce, ad esempio, nella necessità per i titolari di provvedere a una corretta stesura dell’informativa privacy, avendo cura di rispettare le indicazioni di cui all’art. 12 GDPR, che richiede una “forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
Limitazione delle finalità
Secondo il principio di limitazione delle finalità, ciascun titolare deve raccogliere i dati personali “per finalità determinate, esplicite e legittime, e successivamente [trattarli] in modo che non sia incompatibile con tali finalità” (art. 5, comma 1, lett. b)).
Il titolare, pertanto, deve individuare ex ante il trattamento necessario al fine del conseguimento delle finalità. Invero, in caso di ulteriore trattamento, deve prima assicurarsi che quest’ultimo abbia finalità compatibili con quelle originariamente previste e progettarlo di conseguenza.
Il caso: il trattamento dei dati dei clienti
Ad esempio, poniamoci nell’ipotesi del titolare che tratta i dati anagrafici dei clienti al fine di svolgere l’esecuzione del contratto e, nello specifico, la fornitura di beni all’indirizzo di questi ultimi. Qualora intendesse adottare un software che consenta, attraverso l’analisi automatizzata dei dati dei clienti, di migliorare la propria attività, dovrebbe prima procedere a un’attenta valutazione rispetto alle finalità e alla base giuridica originariamente definite in fase di acquisizione dei dati. Solo in caso di esito positivo il titolare potrebbe procedere all’utilizzo dell’applicativo.
Minimizzazione dei dati
Il principio di minimizzazione, in ragione del suo contenuto, è strettamente connesso al citato principio di privacy by default, secondo il quale “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, comma 2, GDPR).
Nella medesima prospettiva, la “minimizzazione dei dati” espressa all’art. 5, comma 1, lett. c) GDPR, richiede che i dati personali risultino “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Di conseguenza, come ricordato dalle richiamate Linee guida (cfr. par. 3.5), il titolare dovrebbe in primo luogo valutare la necessità[2] di trattare i dati personali per le finalità di suo interesse e altresì verificare la possibilità di conseguirle trattando una quantità inferiore di dati personali, ricorrendo a dati personali meno dettagliati o aggregati, oppure non doverli trattare affatto.
Da sottolineare, inoltre, come tale valutazione non deve risultare confinata alla sola fase preliminare al trattamento, ma all’opposto proseguire durante lo stesso, attraverso una valutazione periodica circa la perdurante adeguatezza, pertinenza e necessità dei dati oggetto del trattamento.
Esempio: una campagna promozionale
Spostandoci sul piano concreto, nell’ipotesi di una campagna promozionale svolta attraverso l’invio di comunicazione tramite posta elettronica, possono risultare sufficienti il nominativo e l’indirizzo email dei clienti. Il numero di telefono, viceversa, non dovrebbe essere richiesto, salvo che il titolare non sia in grado di dimostrare che la raccolta di tale informazione è indispensabile e per quali motivi.
Principio di esattezza
Altro principio fondamentale è quello di “esattezza”, che si traduce nella necessità, per il titolare del trattamento, di assicurare che i dati trattati siano “esatti e, se necessario, aggiornati”. Inoltre, “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, comma 1, lett. d) GDPR), soprattutto in ragione dei rischi per i diritti e le libertà degli interessati in caso di utilizzo di dati non esatti.
Il caso: l’uso dell’AI in azienda
Pensiamo, ad esempio, all’impiego da parte di un’azienda di strumenti basati su intelligenza artificiale (IA) per eseguire la profilazione dei propri clienti: nello stabilire come utilizzarla, il titolare dovrebbe disporre di dati esatti per ottenere risultati precisi. Pertanto, il titolare dovrebbe garantire che i dati utilizzati per “addestrare” l’IA siano corretti e, in caso contrario, provvedere alla loro cancellazione o rettifica.
Limitazione della conservazione
Anche il tema della data retention, ossia il periodo di conservazione dei dati personali, è un aspetto fondamentale del trattamento e, come stabilito dalla lettera e) del primo comma dell’articolo 5 GDPR, il titolare deve garantire che la conservazione dei dati avvenga in una “forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità di trattamento”.
Per il titolare, pertanto, occorre innanzitutto mettere a fuoco la finalità del trattamento, che rappresenta il criterio principale per definire la durata o il criterio di conservazione dei dati.
Il caso: le iscrizioni a un evento
Se, ad esempio, la finalità è costituita dalla sola gestione delle iscrizioni a un evento organizzato da un’azienda, terminato l’evento viene meno anche la finalità per cui i dati erano stati raccolti. Occorrerà dunque che i dati vengano cancellati secondo una procedura predefinita (in ottica di privacy by design), magari attraverso un meccanismo automatico, al fine di provvedervi in modo certo e affidabile.
Integrità e riservatezza
Quello dell’integrità e della riservatezza è un principio strettamente connesso al tema delle misure di sicurezza di cui all’art. 32 GDPR, in quanto consiste nella “protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. La sicurezza dei dati personali richiede misure appropriate concepite per prevenire e gestire incidenti di violazione dei dati, garantire la corretta esecuzione dei compiti di trattamento dei dati e la conformità agli altri principi, nonché facilitare l’esercizio effettivo dei diritti delle persone” (par. 3.8 delle citate Linee guida).
Tali misure tecniche e organizzative, conformemente a quanto disposto all’art. 32 e al Considerando 83 GDPR, devono essere stabilite dal titolare “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Inoltre, la valutazione inerente alle misure di sicurezza non deve risultare un’attività statica, ma al contrario consistere in una valutazione costante al fine di determinare, in qualsiasi momento, se le misure adottate possano ritenersi adeguate a contrastare effettivamente le vulnerabilità esistenti.
Principio di responsabilizzazione
Infine, il secondo comma dell’art. 5 GDPR prevede in capo al titolare del trattamento la responsabilità circa la conformità a tutti i principi fin qui esaminati e richiede a quest’ultimo di essere in grado di dimostrarla. Ciò rende opportuna, in primo luogo, una comprensione da parte del titolare rispetto agli obblighi in materia di protezione dei dati personali stabiliti nei suoi riguardi dal regolamento europeo e, soprattutto, la capacità tanto di garantirne quanto di dimostrarne il rispetto.
Un principio che si sovrappone al disposto di cui all’art. 24 dal quale la nostra analisi ha preso avvio e che rappresenta il principale perno dell’interna normativa europea in materia di protezione dei dati personali.
Note
[1] Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate il 20 ottobre 2020.
[2] Come sottolineato nelle Linee guida (par. 3.5) “la minimizzazione dei dati realizza e rende operativo il principio di necessità”.
