Call us now:
Nell’articolo 5 il Regolamento (GDPR) indica i sei principi della protezione dei dati personali.
Sono principi ai quali le organizzazioni e tutti i soggetti devono attenersi quando raccolgono, trattano e memorizzano i dati personali dei residenti dell’Unione Europea.
Ecco di seguito elencati i principi del GDPR:
- liceità, correttezza e trasparenza: il trattamento dei dati personali avviene in modo lecito, corretto e trasparente nei confronti dell’interessato;
- minimizzazione dei dati: i dati sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali si trattano;
- limitazione della finalità: raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- esattezza: i dati sono esatti e, se necessario, aggiornati e bisogna adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità;
- limitazione della conservazione: occorre conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
- integrità e riservatezza: i dati sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Il principio della responsabilizzazione
Sempre nello stesso articolo 5 è espresso un altro principio ovvero quello della responsabilizzazione ( o accountability).
Infatti nella norma al paragrafo 2 si richiede al titolare di rispettare tutti i principi e di essere in grado di comprovarlo.
Questo principio è poi esplicitato ancora dall’articolo 24 nel paragrafo 1 ove si afferma che:
“il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”
La base giuridica del trattamento e il consenso
Uno degli scopi più rilevanti della normativa è quello di assicurare la liceità del trattamento di dati personali
Per tale motivo il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, ha previsto che ogni trattamento deve trovare fondamento in un’idonea base giuridica.
E i suddetti fondamenti di liceità del trattamento di dati sono elencati nell’articolo 6:
“consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati”.
Focalizziamo la nostra attenzione sul consenso, considerato che è il passaggio con il quale a noi stessi è capitato di confrontarsi molto frequentemente.
Se il trattamento si basa sul consenso dell’interessato, è necessario che il titolare sia in grado di dimostrare sempre che l’interessato ha prestato il proprio consenso.
Ma quando è valido il consenso?
Lo è qualora si verifichino le circostanze sotto elencate:
- all’interessato è a piena conoscenza dell’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
- il consenso è espresso dall’interessato liberamente, in modo inequivocabile.
Peraltro, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse.
Inoltre il consenso deve essere revocabile sempre.
Un passaggio fondamentale è verificare che la richiesta di consenso sia palesemente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), come ad esempio all’interno della modulistica.
A maggior ragione va da sè che non sia ammesso il consenso tacito o presunto.
Esso deve essere inequivocabile.
I principi del GDPR in pratica
Per ritornare ai principi enunciati sopra andiamo a capire come rispettarli in pratica.
Sul primo principio, quello di liceità, correttezza e trasparenza rileviamo che le organizzazioni devono assicurarsi che le loro attività di raccolta dei dati personali degli utenti rispettino la legge e siano palesi.
Quindi è indispensabile fornire al pubblico l’informativa sulla privacy, ovvero un documento che contenga ogni informazione utile sulla raccolta dei dati.
In particolare deve specificare chiaramente le finalità e le modalità della raccolta dei dati.
In riferimento alla limitazione delle finalità, bisogna raccogliere i dati personali soltanto per un determinato scopo da indicare esplicitamente nell’informativa sulla privacy.
Un esempio potrà aiutarci a comprendere.
Se un’azienda organizza un evento, dopo aver raccolto i dati personali dei partecipanti all’evento, dovrà usarli esclusivamente per queslla finalità cioè solo per l’evento organizzato.
Inoltre, tali dati vanno mantenuti per il tempo occorrente al completamento di quello scopo per cui li hanno raccolti.
Minimizzazione, limitazione, integrità e riservatezza come principi del GDPR
Ancora, relativamente al principio della minimizzazione dei dati le organizzazioni possono elaborare soltanto i dati personali che sono necessari al raggiungimento della finalità per le quali li raccolgono.
Ad esempio se per partecipare a un sondaggio si richiedono il nome, il cognome e la mail, non si rispetterà il suddetto principio se si chiederanno anche altre informazioni come il numero di telefono o la data di nascita.
Questo perché non sarebbero necessarie per la finalità propria di quel sondaggio. In merito all’esattezza invece, la protezione dei dati implica che gli stessi siano accurati, esatti.
Devono cioè esser precisi tanto che nell’ipotesi in cui i dati personali siano incompleti o inesatti, l’interessato ha diritto a chiedere la rettifica o la cancellazione dei dati.
Infatti, nello stesso GDPR si afferma che bisogna adottare “tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti”.
In tale evenienza il responsabile o il titolare del trattamento dei dati deve eseguire nel termine di trenta giorni la richiesta dell’interessato di rettifica o cancellazione dei dati.
Infine, per i principi di limitazione della conservazione e Integrità e riservatezza rileviamo che per il primo i dati personali vanno eliminati allorquando non sono più necessari agli scopi per i quali sono stati raccolti.
Mentre per l’integrità e la riservatezza si consideri che bisogna tenere i dati personali nel massimo riserbo e lontani dal pericolo di distruzione, perdita o uso illecito da parte di altri.
Il GDPR stesso chiarisce che è necessario trattare i dati personali “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
