Nell’articolo precedente ci siamo soffermati sull’analisi dei principi di correttezza, liceità e trasparenza dei dati personali, alla luce del GDPR. Continuiamo la nostra disamina dei principi generali della protezione dei dati personali, focalizzandoci sui principi di finalità, pertinenza, adeguatezza e non eccedenza.
L’art. 5 co.1 lett. b del GDPR prevede che i dati siano “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” mentre alla lett. c prevede che i dati personali siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati”.
Cosa accade in caso di finalità ulteriori?
La determinatezza postula la specificazione delle finalità del trattamento, le quali devono essere esplicite, ossia chiare e dichiarate in modo non ambiguo; la legittimità richiama il riferimento alla base giuridica del trattamento ex art. 6 co. 1.
In caso di finalità ulteriori, il trattamento successivo dei dati raccolti non potrà avvenire in modo incompatibile con le finalità originarie ed è imposta al titolare, a norma dell’art. 6 par.4, una valutazione di compatibilità tra finalità iniziali e successive.
Sono previste delle deroghe al principio di legittimità delle finalità ulteriori, in quanto un ulteriore trattamento dei dati per finalità di archiviazione nel pubblico interesse o per finalità statistiche o di ricerca scientifica o storica non è considerato incompatibile con le finalità iniziali[1].
Il fatto che il trattamento ulteriore avvenga per altre finalità non indica che esse siano automaticamente incompatibili con le finalità inziali. Pertanto, sarà necessaria una valutazione caso per caso per analizzare la compatibilità tra finalità inziali e successive[2]. A seguito della valutazione, nel caso di finalità ulteriore non compatibile con la finalità inziale, si dovranno applicare le previsioni relative al consenso specifico dell’interessato; difatti, solo un nuovo e specifico consenso renderà lecita la variazione delle finalità, come nel caso di trattamenti effettuati per operazioni di marketing o profilazione. Il consenso non è invece necessario se il trattamento si basa su un’altra causa di liceità.
Principio di finalità, cloud e big data
La valutazione della compatibilità fra finalità originarie ed ulteriori assume speciale rilevanza a seguito dell’evoluzione sociale ed economica e dell’utilizzo di nuove tecnologie; il diffondersi di sistemi di cloud e l’utilizzazione sempre più diffusa di trattamenti di dati tipici dei big data[3] hanno portato alla nascita e allo sviluppo di imprese che hanno come scopo quello di raccogliere dati per finalità molto diverse tra loro, spesso legate alla analytics, ossia a quella tecnologia che consente di trarre agevolmente “dati da dati”. Ciò comporta il diffondersi di trattamenti che hanno come finalità non solo l’utilizzo del dato raccolto, ma anche l’elaborazione di nuove informazioni ricavate dai trattamenti posti in atto. Infatti, ogni titolare del trattamento può disporre di grandi database, sui cui dati, originariamente raccolti per altri fini, si possono condurre analisi e profilare gli interessati, mediante strumenti di calcolo in grado di ricombinare le informazioni contenute in un unico dataset. Inoltre, ciascuna banca dati può essere rivenduta a soggetti terzi che, incrociandola con altre informazioni di cui erano già in possesso, possono incrementare il livello di conoscenza e di predizione dei comportamenti e delle preferenze del singolo individuo, generando informazioni nuove[4] di cui l’interessato potrebbe persino non sospettare l’esistenza e che potrebbero avere silenziosi impatti sulla sua persona.
Pertinenza, adeguatezza e non eccedenza nel trattamento dei dati
Quando si fa riferimento ai big data, dunque, è richiesta al titolare una specifica attenzione in merito alla valutazione degli impatti sulla sfera soggettiva dell’interessato, subordinando il trattamento all’adozione di garanzia adeguate e all’eventuale ottenimento di un consenso specifico, in particolare laddove vi siano finalità di profilazione e non vi sia pseudonimizzazione. I principi di pertinenza ed adeguatezza obbligano a raccogliere solo quei dati che siano funzionali al perseguimento delle finalità predeterminate. La non eccedenza si sostanzia in quello che il Codice Privacy definisce come principio di necessità: occorre ridurre al minimo l’utilizzo di dati personali e identificativi, in modo da escluderne il trattamento, qualora le finalità perseguite siano raggiungibili anche mediante dati anonimi o opportune modalità che permettano l’identificazione dell’interessato solo nei casi di necessità. La cd. minimizzazione riassume insieme i principi di pertinenza, adeguatezza e non eccedenza ed ha l’obiettivo di rendere la raccolta dati quanto più specifica possibile, minimizzandone la quantità e limitandola ai soli dati necessari per il perseguimento delle finalità. La minimizzazione si estende anche alla configurazione dei software, prevedendo lo sviluppo di applicazioni configurate in modo tale da ridurre al minimo l’uso dei dati personali. Il principio di minimizzazione costituisce il presupposto della cd. Privacy by Default, che ne rappresenta una forma di applicazione concreta.
Rosanna Celella
————————————
[1] Cfr. altresì art. 89 GDPR.
[2] Cfr. Opinion 3/2013 on purpose limitation (WP n. 203) che in merito al tema del compatibility assessment individua i fattori che devono essere presi in considerazione al momento della valutazione: rapporto tra le finalità per le quali i dati sono stati trattati e le finalità di ogni trattamento successivo; il contesto in cui i dati personali sono stati raccolti e le aspettative dei soggetti interessati rispetto ai trattamenti futuri, soprattutto considerando le relazioni tra interessato e titolare (ragionevole aspettativa dell’interessato); la natura dei dati personali e l’eventuale impatto di ulteriori trattamenti sugli interessati; l’esistenza di garanzie adeguate (come cifratura o pseudonomizzazione) per assicurare un trattamento corretto e prevenire effetti ingiustificati sugli interessati.
[3] Per big data, stante alla definizione fornita da Gartner, si deve intendere un patrimonio di informazioni di grande volume, varietà e velocità da richiedere forme innovative ed economicamente efficienti di elaborazione, che consentano di migliorare comprensione dei dati, processi decisionali ed automazione dei procedimenti da parte del titolare. Le operazioni di trattamento dei big data non riguardano necessariamente dati personali, tuttavia lo stretto rapporto che lega la big data analysis alla raccolta di informazioni personali ha portato a riflessioni circa il necessario bilanciamento tra tutela della protezione dei dati degli individui e opportunità derivanti dall’analisi di simili informazioni.
[4] Si genera quello che Luca Bolognini definisce “subconscio digitale”; Cfr. L. Bolognini, E. Pelino, C. Bistolfi, “Il Regolamento Privacy Europeo”, Giuffrè editore, Milano, 2016, p. 104.