Occorre un’analisi dell’importanza del “principio di finalità” e di finalità ulteriori, introdotto dal GDPR per far fronte alle nuove sfide dell’analisi dei Big Data e degli Open Data, con l’intelligenza artificiale.
Big data, open data e trattamento dati
Nell’era della digital society e della digital economy diventa sempre più prioritaria la necessità di trovare il giusto equilibrio tra il cospicuo patrimonio informativo a disposizione, il suo utilizzo e il diritto fondamentale degli individui alla protezione dei propri dati personali.
È il tema dei Big Data e degli Open Data che impone una dovuta riflessione in merito al trattamento dei dati personali per finalità ulteriori.
Se infatti è vero che l’utilizzo di una simile quantità di informazioni potrebbe portare grandi benefici agli individui e alla società nel suo complesso, altrettanto vero è che tutto questo debba necessariamente passare per un’attenta analisi preliminare in merito alla compatibilità delle finalità ulteriori del trattamento, rispetto alle finalità per cui i dati personali sono stati inizialmente raccolti e/o resi pubblici.
Proprio al fine di far fronte alle nuove sfide dell’analisi dei Big Data e degli Open Data, ciascun titolare del trattamento deve agire nel pieno rispetto del “principio di finalità” (rectius: “il principio di limitazione delle finalità”) previsto all’art. 5(1)(b) del GDPR.
Che cos’è il principio di finalità
Il principio di finalità del trattamento prevede che i dati personali debbano essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5(1)(b) del GDPR).
Si tratta di un principio generale che si fonda sulla stretta corrispondenza tra i motivi della raccolta dei dati personali e l’effettivo impiego degli stessi. In tal senso, le finalità del trattamento devono sempre essere:
- determinate – il titolare deve prevedere in modo sufficientemente chiaro quali siano le finalità effettive per cui ha intenzione di raccogliere e trattare i dati personali. Non sono pertanto ammesse indicazioni generiche ovvero finalità, per così dire, in corso di definizione, indefinite e/o illimitate;
- esplicite – le finalità devono essere sufficientemente inequivocabili e chiaramente espresse. L’interessato deve, quindi, essere messo a conoscenza dei motivi per i cui i suoi dati sono trattati; e
- legittime – le finalità del trattamento devono essere lecite rispetto alla normativa applicabile e, allo stesso tempo, legittime. Non sono dunque ammesse finalità contra legem e men che meno finalità lecite ma illegittime.
Il principio di finalità è inoltre strettamente correlato:
- all’obbligo del titolare di dover informare gli interessati in merito alle finalità del trattamento;
- al diritto degli interessati a prestare il consenso al trattamento (quando il consenso rappresenta la giusta condizione di liceità); e
- al corretto esercizio dei diritti degli interessati ai sensi di legge.
La determinazione ex ante delle finalità del trattamento
Sul titolare del trattamento grava l’obbligo di dover generalmente prevedere ex ante le finalità per cui i dati verranno raccolti e successivamente trattati.
Ciò non soltanto al fine di permettere agli interessati di essere correttamente informati ai sensi di legge e di compiere, dunque, scelte consapevoli, ma anche e soprattutto per consentire ai titolari di essere in grado di delimitare opportunamente lo scopo delle operazioni di trattamento e di determinare sia i mezzi che le misure tecniche e organizzative adeguate rispetto al trattamento dei dati personali.
Una chiara determinazione delle finalità del trattamento è peraltro necessaria anche per l’effettuazione di un’adeguata valutazione d’impatto sulla protezione dei dati e per garantire il rispetto dei principi di privacy-by-design e privacy-by-default.
Il trattamento dei dati per finalità ulteriori
Nonostante il titolare sia chiamato a prevedere ex ante e in modo specifico le finalità e ad attenersi ad esse nello svolgimento delle operazioni di trattamento, non si esclude che i dati personali possano essere sottoposti a trattamenti ulteriori per scopi diversi.
In tal senso, infatti, il legislatore europeo prevede che ciò possa avvenire nella misura in cui le finalità ulteriori siano compatibili rispetto alle finalità per le quali i dati sono stati inizialmente raccolti.
Nel pieno rispetto del ben noto principio di accountability, il titolare del trattamento è infatti chiamato a comprovare di aver agito nel pieno rispetto del principio di finalità, sulla base di un’attenta valutazione in merito alla compatibilità degli scopi ulteriori del trattamento, così come richiesto ai sensi del combinato disposto degli artt. 5(1)(b) e 6(4) del GDPR.
Il concetto di compatibilità delle finalità: come valutarlo
La formulazione dell’art. 5(1)(b) del GDPR risulta apparentemente “ambigua” e di difficile interpretazione: non è infatti sufficientemente chiaro quali siano le finalità del trattamento compatibili rispetto a quelle della raccolta.
L’unica certezza chiaramente espressa dal legislatore europeo è che “un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”. Norma, questa, che deve peraltro coniugarsi in particolare con l’attuale formulazione dell’art. 110-bis del D. Lgs. 196/2003, come da ultimo emendato dal D. Lgs. 10 agosto 2018, n. 101, il quale prevede che l’Autorità Garante per la protezione dei dati personali possa autorizzare il trattamento ulteriore dei dati per fini di ricerca scientifica o per finalità statistiche da parte di soggetti che svolgano principalmente tali attività, laddove informare gli interessati risultasse impossibile o implicasse uno sforzo sproporzionato e a condizione che vengano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, ivi incluse forme preventive di minimizzazione e di anonimizzazione dei dati.
L’art. 5(1)(b) del GDPR deve essere, tuttavia, letto in combinato disposto con l’art. 6(4) e con il considerando n. 50. Anzitutto, si prevede espressamente che i dati personali possano essere trattati per finalità ulteriori, anche incompatibili rispetto a quelle originarie, laddove l’interessato
- abbia prestato il suo consenso ovvero
- il trattamento si basi su un atto legislativo dell’Unione o degli Stati membri, che costituisca una misura necessaria e proporzionata per la salvaguardia, in particolare, degli importanti obiettivi di interesse pubblico generale di cui all’art. 23(1) del GDPR.
Ulteriori parametri per valutare la compatibilità
Qualora non si ricada, invece, in una delle due ipotesi sopra citate, l’art. 6(4) specifica anche che i dati personali possano essere trattati per finalità diverse purché compatibili rispetto a quelle per cui sono stati inizialmente raccolti, prevedendo una serie di parametri, di seguito elencati, di cui il titolare del trattamento deve necessariamente tenere conto nel corso della valutazione sulla compatibilità:
- ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
- il contesto in cui i dati personali sono stati raccolti, con particolare riguardo alle ragionevoli aspettative dell’interessato, in base alla sua relazione con il titolare, rispetto all’ulteriore utilizzo dei suoi dati;
- la natura dei dati personali, e in particolare se siano trattate categorie particolari di dati personali (g. dati relativi alle condizioni fisiche e/o allo stato di salute), ovvero se siano trattati dati relativi a condanne penali e/o a reati;
- le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
- l’esistenza di garanzie/misure tecniche e organizzative adeguate, come la cifratura o la pseudonimizzazione dei dati personali trattati).
Base giuridica sul trattamento dei dati per finalità ulteriori
Nel caso in cui le finalità ulteriori del trattamento possano considerarsi compatibili rispetto a quelle per cui i dati sono stati inizialmente raccolti, allora non è richiesta una base giuridica ad hoc, diversa e ulteriore oltre a quella (legittima) che ha consentito la raccolta dei dati stessi (si veda, in tal senso, il combinato disposto fra il considerando 50 e l’art. 6(4) del GDPR).
Ciò nonostante, sebbene non sia richiesta una base giuridica separata per il trattamento dei dati per finalità ulteriori ma compatibili, il titolare deve in ogni caso fornire sempre un’informativa su tale trattamento all’interessato, sia nel caso in cui i dati siano stati raccolti direttamente presso di lui (art. 13(3) del GDPR), sia laddove i dati siano invece raccolti presso terzi (art. 14(4) del GDPR).
Conclusioni
Alla base del GDPR c’è la costante ricerca di un effettivo punto d’equilibrio fra la repentina evoluzione della tecnologia e la rigorosa applicazione dei principi a tutela del diritto fondamentale degli individui alla protezione dei propri dati personali.
In quest’ottica, appare evidente come la formulazione dei parametri richiamati al paragrafo 4 dell’art. 6 del GDPR appaia molto ampia e, allo stesso tempo, suscettibile di interpretazioni fra di loro potenzialmente eterogenee, proprio perché la definizione della compatibilità è rimessa al singolo titolare e deve essere valutata caso per caso.
Ciò nonostante, è possibile rinvenire alcune importanti linee guida in merito al compimento della valutazione di compatibilità delle finalità nell’Opinion 3/2013 dell’Art. 29 Data Protection Working Party – sebbene si tratti di un’opinion scritta sotto la vigenza della Direttiva 95/46/CE, è comunque utile ripercorrere i termini del “compatibility assessment”, coniugandolo con le attuali previsioni del GDPR (i.e., artt. 5(1)(b), 6(4), 13(3), 14(4) e considerando 50).
L’unica certezza, al momento, è che il GDPR prevede espressamente che sia possibile ampliare le finalità iniziali del trattamento e che la valutazione in merito alla loro non incompatibilità ai sensi e per gli effetti dell’art. 6(4) sia rimessa al titolare e a lui soltanto, rientrando nella sua accountability l’esser in grado di dimostrare che il trattamento sia in ogni caso avvenuto nel pieno rispetto della normativa applicabile in materia di protezione dei dati personali.
Principio generale di grande importanza, oggi, soprattutto se si considera il ruolo chiave che i Big Data, gli Open Data e l’Intelligenza Artificiale stanno avendo per l’economia su scala mondiale, e non solo.
I tempi odierni e i fatti di cronaca che continuano a segnarli fanno emergere, sempre più, la necessità di un’imprescindibile approccio privacy-by-design e privacy-by-default nella progettazione e successiva implementazione di business e servizi che si fondano proprio sul riutilizzo dei dati personali per finalità ulteriori: valutazioni opportune in merito alla compatibilità delle finalità e la predisposizione di misure tecniche e organizzate adeguate rispetto ai rischi sottesi ai trattamenti rappresentano, senza ombra di dubbio, il necessario punto di partenza per ciascun titolare del trattamento.