{"id":1315,"date":"2024-02-26T09:29:09","date_gmt":"2024-02-26T08:29:09","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=1315"},"modified":"2024-11-21T14:37:15","modified_gmt":"2024-11-21T13:37:15","slug":"diritto-dei-dati-principi-gdpr","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2024\/02\/26\/diritto-dei-dati-principi-gdpr\/","title":{"rendered":"Diritto dei dati – I principi del GDPR"},"content":{"rendered":"\n

I principi del GDPR: liceit\u00e0, correttezza, trasparenza, finalit\u00e0, necessit\u00e0, esattezza, minimizzazione, proporzionalit\u00e0, precauzione, accountability<\/em>.<\/strong><\/p>\n\n\n\n

Continuiamo a muovere lungo il GDPR e in particolare dobbiamo analizzare quelli che sono i cosiddetti principi<\/strong> che guidano il GDPR. Cosa vuol dire questo? Vuol dire che sono i principi che il legislatore europeo ha voluto riconoscere, ha voluto utilizzare come guida, l\u2019ispirazione della sua attivit\u00e0 normativa che viene poi concretizzata nelle norme del GDPR ma che sono anche i principi che guidano poi l\u2019esercizio di tutte le attivit\u00e0 che il GDPR descrive. Quindi, di fronte a qualsiasi dubbio, a qualsiasi equivoco, a qualsiasi necessit\u00e0 di capire se, quando, come sono state rispettate le norme del GDPR, proprio attraverso il ricorso ai principi che ne guidano l\u2019essenza, in qualche modo, la costruzione, possiamo capire se stiamo rispettando o meno le norme. Innanzitutto diciamo che questi principi generali in tema di trattamento si applicano nei confronti di coloro, di quei titolari che svolgono attivit\u00e0 commerciali e professionali. Dei primi principi li troviamo nell\u2019articolo 5 del GDPR che ne descrive una sorta di elenco. Un elenco abbastanza lungo che ci fa una serie di riferimenti da cui ricaviamo questi principi. E i primi sono indicati nella lettera a del primo paragrafo dell\u2019articolo 5<\/strong> che ci dice proprio in apertura che i dati personali devono essere trattati in modo lecito, corretto e trasparente<\/strong>.<\/p>\n\n\n\n

Quindi i nostri primi tre principi da cui partiamo sono proprio la liceit\u00e0, la correttezza e la trasparenza. La liceit\u00e0 \u00e8 quella che richiede un discorso un po\u2019 pi\u00f9 ampio, perch\u00e9 il principio di liceit\u00e0 \u00e8 ancorato a due requisiti alternativi che riscontriamo nell\u2019articolo successivo, nell\u2019articolo 6. L\u2019articolo 6, infatti ci indica quali sono le cosiddette condizioni di liceit\u00e0 del trattamento. Abbiamo un elenco diviso in lettere, che per\u00f2 possiamo suddividere in due gruppi. Le condizioni fondate sul requisito di necessit\u00e0, che sono quelle dalla lettera b alla lettera f, e poi la condizione del consenso che \u00e8 quella della lettera a. Iniziamo quindi da quelle fondate sul principio di necessit\u00e0 del trattamento, quelli appunto dalla lettera b alla lettera f. Sono tutti esempi in cui il trattamento si considera lecito, quindi le condizioni di trattamento sono lecite per diversi motivi tra loro. La prima ipotesi \u00e8 quella in cui il trattamento \u00e8 necessario per l\u2019esecuzione di un contratto di cui l\u2019interessato \u00e8 parte. Quindi noi per eseguire un contratto stipulato con interessati dobbiamo necessariamente eseguire questo trattamento. Quindi noi stipuliamo un contratto per\u00f2, affinch\u00e9 questo contratto sia eseguito \u00e8 fondamentale l\u2019attivit\u00e0 di trattamento dei dati personali: la necessit\u00e0 di questo trattamento, rispetto all\u2019esecuzione del contratto che abbiamo stipulato, rende il trattamento lecito. Un\u2019altra ipotesi \u00e8 quella in cui il titolare deve adempiere ad un obbligo legale. Per esempio pensiamo agli obblighi di tenuta della contabilit\u00e0 o rispetto all\u2019emissione delle fatture. Rispetto a questi obblighi un titolare del trattamento si trova di fronte alla necessit\u00e0 di eseguire il trattamento dei dati e quindi automaticamente questo trattamento sar\u00e0 lecito proprio perch\u00e9 il titolare cos\u00ec come svolge il trattamento, deve al contempo adempiere ad un obbligo legale. Una terza ipotesi \u00e8 quella della lettera d, che fa riferimento alla salvaguardia degli interessi vitali dell\u2019interessato. Quindi quando \u00e8 necessario salvaguardare gli interessi vitali, quindi proprio quelli che riguardano la sopravvivenza della persona, allora \u00e8 lecito quel trattamento perch\u00e9 appunto \u00e8 necessario per tutelare la sua vita. In questo caso per esempio possiamo pensare all\u2019ipotesi di trattamento dei dati che sono necessari, e sono fatti relativamente recenti, per tenere sotto controllo la diffusione di un\u2019epidemia, oppure nei casi di catastrofi naturali, di emergenze, rispetto alle quali la salvaguardia degli interessi vitali delle persone coinvolte pu\u00f2 comportare anche il trattamento. Ancora lettera e, \u00e8 necessario quando \u00e8 svolto per l\u2019esecuzione di un interesse pubblico da parte del titolare. E poi l\u2019ultima ipotesi, quella della lettera f, \u00e8 fondata la liceit\u00e0 sulla necessit\u00e0 del trattamento dei dati quando il trattamento deve essere effettuato per perseguire quello che \u00e8 un legittimo interesse del titolare. L\u2019importante in questo caso \u00e8 che il legittimo interesse del titolare non si scontri con i diritti e le libert\u00e0 fondamentali dell\u2019interessato, soprattutto se l\u2019interessato \u00e8 un soggetto di minore et\u00e0. Questa valutazione \u00e8 particolare, molto particolare questa ipotesi di cui alla lettera f, perch\u00e9 il fatto che il legittimo interesse sia tale, in realt\u00e0 \u00e8 una valutazione che spetta al titolare stesso. Quindi \u00e8 il titolare stesso a individuare l\u2019ipotesi in cui ritiene che il suo legittimo interesse sia tale da giustificare il trattamento. Poi, ovviamente ex-post ci pu\u00f2 essere un controllo rispetto alla liceit\u00e0 o meno di questo trattamento, per\u00f2 a monte \u00e8 il titolare stesso che ritiene il suo legittimo interesse come non preponderante rispetto ai diritti, alla libert\u00e0 dell\u2019interessato e quindi tale da giustificare il trattamento stesso. Ci\u00f2 che \u00e8 importante \u00e8 che comunque, tra titolare e interessato in questi casi vi sia un tipo di relazione che in qualche modo giustifichi questo trattamento, nel senso che renda questo trattamento attendibile, aspettabile da parte dell\u2019interessato. Pensiamo per esempio a quei rapporti tra clienti e venditori e poi rapporti tra dipendente e datore di lavoro, sono dei rapporti in cui effettivamente l\u2019interessato in questi esempi \u00e8 il cliente o il lavoratore, si pu\u00f2 ragionevolmente aspettare, attendere che il titolare e quindi nell\u2019esempio, il venditore o il datore di lavoro, debba utilizzare quei dati personali e quindi appunto queste ipotesi possono permettere il trattamento perch\u00e9 fungono da condizione di liceit\u00e0 del trattamento stesso. Quindi questi esempi dalla lettera b alla lettera f dell\u2019articolo 6 ci indicano delle ipotesi in cui la condizione di liceit\u00e0 del trattamento \u00e8 la necessit\u00e0 del trattamento.<\/p>\n\n\n\n

L\u2019altra ipotesi, quella della lettera a, \u00e8 invece la pi\u00f9 diffusa perch\u00e9 \u00e8 il consenso dell\u2019interessato. Quindi l\u2019articolo 6 lettera a ci dice che il trattamento \u00e8 lecito quando c\u2019\u00e8 stato il consenso dell\u2019interessato, che sia un consenso espresso per tutte le finalit\u00e0 che il titolare deve perseguire. Il consenso addirittura diventa l\u2019unica fonte di liceit\u00e0 del trattamento quando i dati che vengono trattati sono i dati descritti dall\u2019articolo 9 del GDPR. I dati descritti articolo 9 sono i cosiddetti dati particolari<\/strong>, sono un po\u2019 l\u2019evoluzione di quelli che pi\u00f9 diffusamente venivano chiamati come dati sensibili<\/strong>. Il GDPR supera il concetto di dato sensibile, preferendo quello di dato particolare. Dati particolari quindi a questo punto sono in realt\u00e0 facilmente immaginabili perch\u00e9 sono dati particolari le convinzioni religiose, le opinioni politiche, i dati genetici, i dati che rivelano l\u2019origine etnica di una persona o quelli che ne rivelano l\u2019orientamento sessuale o quelli relativi alla salute o insomma tutta una serie di dati estremamente connessi al nucleo pi\u00f9 intimo della identit\u00e0 personale. Diciamo che il consenso e le altre condizioni di liceit\u00e0 fondate sulla necessit\u00e0 sono condizioni che possiamo considerare equipollenti nel senso che sono tutte condizioni di liceit\u00e0 del trattamento, sono infatti dei criteri alternativi: criterio del consenso e criterio della necessit\u00e0. Ci\u00f2 che cambia \u00e8 che mentre quando un soggetto presta direttamente il consenso siamo di fronte ad una situazione in cui abbiamo una persona che opera autonomamente una scelta discrezionale, cio\u00e8 quando io fornisco il consenso sto valutando tutti quelli che sono gli aspetti in gioco, gli interessi in gioco, faccio io il bilanciamento rispetto a se voglio prestare o meno il consenso perch\u00e9 deve essere un consenso informato, libero, specifico e inequivocabile, quindi la scelta discrezionale \u00e8 totalmente mia. Invece quando siamo di fronte ai criteri fondati sulla necessit\u00e0, quindi le condizioni di liceit\u00e0 fondate sulla necessit\u00e0, lettere da b ad f, qui la valutazione non \u00e8 discrezionale del singolo interessato perch\u00e9 appunto la necessit\u00e0 del consenso \u00e8 valutata a monte dal legislatore che reputa quelle situazioni come idonee a rendere il trattamento lecito.<\/p>\n\n\n\n

Ci\u00f2 che comunque conta \u00e8 che in entrambi i casi, sia quando siamo di fronte alle condizioni di liceit\u00e0 fondate sul consenso, sia alle condizioni di liceit\u00e0 fondate sulla necessit\u00e0, stiamo comunque parlando di condizioni, nel senso di presupposti della liceit\u00e0. Per\u00f2 ci\u00f2 non vuol dire che il trattamento poi sia lecito del tutto, perch\u00e9 la liceit\u00e0 va considerata in una duplice accezione. La prima accezione \u00e8 questa legata ai presupposti. Quindi tutti questi requisiti stanno ad indicare quelle che sono le condizioni senza le quali non si pu\u00f2 nemmeno iniziare il trattamento, sono la conditio sine qua non<\/em> del trattamento. Se non abbiamo questa queste condizioni proprio a monte il trattamento non potr\u00e0 essere lecito. Per\u00f2 la liceit\u00e0 va anche considerata in accezione pi\u00f9 ampia quindi una liceit\u00e0 cosiddetta a valle: se quindi a monte guardiamo le condizioni, a valle guardiamo in concreto quelle che sono le modalit\u00e0 in cui tutta l\u2019attivit\u00e0 viene realizzata e quindi qui entrano in gioco anche gli altri principi. Innanzitutto il principio di correttezza<\/strong> e il principio di trasparenza<\/strong>. I principi di correttezza e di trasparenza, in particolare all\u2019articolo 5 sono posti allo stesso livello della liceit\u00e0, quindi liceit\u00e0, correttezza e trasparenza che devono caratterizzare il trattamento. Il principio di correttezza e il principio di trasparenza come si esprimono in concreto? Tipicamente la loro espressione avviene attraverso l\u2019informativa. L\u2019informativa che deve essere somministrata all\u2019interessato in un senso che sia funzionale alla formazione del suo consenso, della sua volont\u00e0 di procedere al trattamento dei dati, affinch\u00e9 questo consenso sia appunto consapevole, sia libero. E affinch\u00e9 il soggetto interessato sia reso edotto di tutte quelle che sono le caratteristiche di questo trattamento e tutti i diritti che gli sono riconosciuti in virt\u00f9 di questo trattamento, quindi l\u2019informativa ci dovr\u00e0 spiegare come si svolge il trattamento, per quanto tempo dura, quali sono le finalit\u00e0, in pi\u00f9 mi deve anche dire quali sono i miei diritti e quindi pensiamo per esemprio al diritto di accesso, al diritto alla cancellazione dei dati. Quindi la logica dell\u2019informativa che appunto esprime l\u2019essenza dei principi di correttezza e trasparenza \u00e8 una logica di permettere all\u2019interessato di prestare un consenso che sia informato. La trasparenza peraltro \u00e8 un principio che generalmente riguarda il tema della tutela dei dati personali un po\u2019 da sempre, per\u00f2 soltanto con il GDPR \u00e8 stato effettivamente esplicitato, quindi il GDPR in ci\u00f2 scrive proprio, indica, formalizza, positivizza questo principio di trasparenza come principio guida dell\u2019attivit\u00e0 coinvolta al trattamento dei dati personali. La trasparenza in particolare riguarda le modalit\u00e0 con cui i dati vengono trattati e quindi con cui vengono raccolti, con cui vengono utilizzati, con cui vengono consultati, conservati. E\u2019 poi un principio in forza del quale si impone al titolare di indicare tutte le informazioni che deve dare all’interessato e di dare ogni tipo di comunicazione rispetto al trattamento, in un modo che sia facilmente accessibile e comprensibile e in un modo che utilizzi un linguaggio chiaro e semplice. Proprio perch\u00e9 l\u2019interessato \u00e8 un po\u2019 il soggetto debole di questo rapporto, perch\u00e9 \u00e8 colui che sta fornendo i suoi dati personali, allora deve conoscere tutte le informazioni possibili sul trattamento nel modo pi\u00f9 chiaro, semplice, intellegibile possibile.<\/p>\n\n\n\n

Infine la trasparenza a livello di informativa la concretizziamo anche nell\u2019obbligo del titolare di rendere nota la sua identit\u00e0. Quindi quando d\u00f2 il consenso al trattamento di dati personali devo effettivamente avere indicato chi \u00e8 il titolare che si occuper\u00e0 di questo trattamento e tutte quelle che saranno le finalit\u00e0 del trattamento. Diciamo poi che i confini concreti della correttezza e della trasparenza sono molto poco tracciabili, sono molto sovrapposti tra loro. La correttezza possiamo intendere in un senso pi\u00f9 legato al comportamento corretto che il titolare deve avere nei confronti dell’interessato. La trasparenza forse ci riesce a descrivere meglio il fatto che c\u2019\u00e8 necessit\u00e0 di una massima comprensibilit\u00e0 di tutto ci\u00f2 arriva nel trattamento mentre la correttezza pu\u00f2 riguardare di pi\u00f9 i comportamenti che in concreto il titolare tiene nei confronti dell\u2019interessato.<\/p>\n\n\n\n

Ovviamente tutti questi principi, appunto correttezza, trasparenza e anche liceit\u00e0 devono perdurare per tutto il rapporto, deve perdurare la concretizzazione di questi principi. Quindi proprio un riconoscimento dell\u2019esigenza che tra titolare e interessato ci sia la massima lealt\u00e0 nel senso che il titolare deve garantire all\u2019interessato di essere munito di tutti gli strumenti necessari a comprendere le modalit\u00e0 del trattamento, ma anche gli effetti che il trattamento pu\u00f2 avere su di lui. Quindi leale comportamento del titolare nei confronti dell\u2019interessato si concretizza in tutto ci\u00f2 che riguarda poi la possibilit\u00e0 dell\u2019interessato di scegliere liberamente il trattamento e poi di controllarlo, cos\u00ec come la lealt\u00e0 \u00e8 anche dall\u2019interessato nei confronti del titolare ad esempio nell\u2019esercizio del diritto all\u2019accesso. Il diritto all\u2019accesso deve essere svolto sempre da parte dell\u2019interessato, in un modo che non sia abusivo, altrimenti, appunto, anche qui la lealt\u00e0 viene meno. Altro principio importantissimo \u00e8 il principio di finalit\u00e0<\/strong>. Il trattamento deve essere sempre finalizzato<\/strong>. Il principio di finalit\u00e0 pone un limite intrinseco proprio all’attivit\u00e0 del trattamento, perch\u00e9 il trattamento dei dati deve sempre essere effettuato nell\u2019ambito delle finalit\u00e0 che il titolare ha dichiarato di svolgere, di perseguire. E ovviamente non sono finalit\u00e0 che il titolare sa di voler svolgere, ma sono le finalit\u00e0 che nell\u2019informativa ha dichiarato di voler svolgere<\/span>, proprio perch\u00e9 tra le finalit\u00e0 che il titolare persegue e le finalit\u00e0 che il soggetto interessato conosce, ci deve essere massima corrispondenza. E anche qui ritroviamo la correttezza di prima. Se il titolare modifica le finalit\u00e0, ne aggiunge delle altre, ne toglie alcune, deve sempre aggiornare l\u2019informativa e renderne edotto il soggetto interessato. Per\u00f2, appunto, a monte \u00e8 necessario individuare delle finalit\u00e0, usiamo quindi una logica preventiva perch\u00e9 fin dall\u2019inizio devono essere indicate le finalit\u00e0 che si vogliono perseguire e attraverso l\u2019indicazione di queste finalit\u00e0 noi andiamo un po\u2019 a costruire un perimetro dell\u2019attivit\u00e0 del titolare, un perimetro dell\u2019attivit\u00e0 di trattamento. E ovviamente questo perimetro deve essere inequivocabilmente chiaro e definito, non ci deve essere il dubbio di interpretare in che modo la finalit\u00e0 verr\u00e0 perseguita, non ci deve essere la possibilit\u00e0 che si creino degli equivoci rispetto a quelle che sono le finalit\u00e0, tant\u2019\u00e8 che si parla di finalit\u00e0 costruite in un senso addirittura oggettivo, proprio perch\u00e9 devono essere completamente manifeste ed inequivocabili, proprio perch\u00e9 se cos\u00ec non fosse il soggetto interessato non potrebbe svolgere quell\u2019attivit\u00e0 di controllo che dicevamo gli viene riconosciuta.<\/p>\n\n\n\n

Quindi questa attivit\u00e0 continua nel tempo e io conosco le finalit\u00e0 perch\u00e8 il titolare nell\u2019informativa me le ha comunicate, per\u00f2 se nel tempo viene svolto ad esempio un cosiddetto trattamento secondario, quindi un trattamento ulteriore rispetto a quello che era stato indicato all\u2019inizio e che quindi pu\u00f2 perseguire delle finalit\u00e0 ulteriori, allora il titolare deve indicarlo e questo \u00e8 un onere che il titolare ha sempre perch\u00e9 deve essere sempre corretto e trasparente nei confronti dell\u2019interessato. E la logica \u00e8 sempre quella di proteggere il pi\u00f9 possibile l\u2019interessato, perch\u00e9 a maggior ragione con il progressivo sviluppo delle tecnologie informatiche, rispetto a quando un soggetto magari ha fornito il consenso la prima volta, nel tempo \u00e8 possibile che il titolare entri a disposizione di strumenti, di modalit\u00e0 attraverso cui pu\u00f2 incidere, impattare in modo pi\u00f9 forte, magari rispetto a prima sulla sfera individuale del singolo, pu\u00f2 perseguire delle finalit\u00e0 in pi\u00f9 per il tipo di attivit\u00e0 che svolge quindi la tutela che in questo modo il nostro ordinamento, l\u2019ordinamento europeo garantisce al singolo \u00e8 una tutela di imporre progressivamente al titolare di essere trasparente rispetto alle finalit\u00e0 che vuole perseguire. Ovviamente questo per quanto riguarda l\u2019ipotesi in cui le finalit\u00e0 cambino o nel caso in cui delle prime finalit\u00e0 se ne aggiungano delle altre. Nell\u2019ipotesi in cui invece le finalit\u00e0 non sono nuove, n\u00e9  cambiano, ma la finalit\u00e0 per cui l’interessato aveva inizialmente prestato il consenso non \u00e8 pi\u00f9 attuale quindi per esempio l\u2019ipotesi in cui la lo scopo per cui venivano trattati i dati viene conseguito, allora in quel caso il trattamento che avviene dopo il conseguimento dello scopo che era stato dichiarato a quel punto diventa illecito: perch\u00e9 qui non stiamo parlando di un trattamento che si aggiunge, di finalit\u00e0 che si aggiungono e che vanno a completare quello inizialmente ammesso. Se siamo nell\u2019ipotesi in cui lo scopo che era stato dichiarato \u00e8 terminato, allora questo trattamento dei dati non pu\u00f2 pi\u00f9 continuare per finalit\u00e0 che vengono introdotte successivamente. Proprio perch\u00e9 non c\u2019\u00e8 pi\u00f9 la condizione per il trattamento di quegli stessi dati, quel titolare non pu\u00f2 riutilizzare i dati perch\u00e9 la finalit\u00e0 \u00e8 conseguita, lo scopo \u00e8 conseguito. Ovviamente alla conclusione, al raggiungimento dello scopo del trattamento, possiamo considerare equiparabili anche, ad esempio, una sopravvenuta carenza dell\u2019interesse alla protrazione del trattamento o anche una qualsiasi insorgenza di una causa che renda addirittura illegittima la prosecuzione del trattamento.<\/p>\n\n\n\n

Ovviamente a fronte di questi obblighi che sono posti a carico del titolare e quindi di rispettare le finalit\u00e0 del trattamento corrispondono i diritti e in questo caso \u00e8 immaginabile il diritto alla cancellazione. Se per esempio valuto che il trattamento si sta perseguendo oltre le finalit\u00e0 indicate posso chiedere la cancellazione dei miei dati perch\u00e9 ricordiamoci sempre che se c’\u00e8 un obbligo in capo ad una persona, proprio dal punto di vista di schema della norma, se si pone un obbligo a carico di uno, abbiamo sempre un diritto posto a carico dell\u2019altro soggetto che ad esso si interfaccia. Quindi cos\u00ec come abbiamo l\u2019obbligo delle finalit\u00e0, abbiamo il diritto dell\u2019interessato a chiedere la cancellazione.<\/p>\n\n\n\n

In relazione a queste finalit\u00e0, l\u2019articolo 5, lettera b dice che le finalit\u00e0 oltre ad essere espresse devono essere legittime e questa legittimit\u00e0 <\/strong>andr\u00e0 parametrata in funzione dello svolgimento di finalit\u00e0 che possano essere considerati apprezzabili da parte dell\u2019ordinamento, dunque delle finalit\u00e0 dal contenuto positivo rispetto a quanto l\u2019ordinamento naturalmente permette. Nella successiva lettera c ricaviamo il principio di necessit\u00e0. La lettera c dice che \u00e8 necessario che i dati abbiano un nesso di pertinenza e di adeguatezza rispetto alle finalit\u00e0, cio\u00e8 i dati che il trattamento utilizza, i dati che il titolare tratta sono dati che devono essere pertinenti e adeguati rispetto alle finalit\u00e0. Quindi il principio di necessit\u00e0 \u00e8 in senso ampio il principio per cui i dati trattati devono essere necessari per lo svolgimento del trattamento. In questo senso il principio di necessit\u00e0 ci fa intendere che non debbono essere raccolti dati eccedenti rispetto a quelli di cui il titolare ha bisogno. Quindi la logica, la ratio che il legislatore europeo persegue in questa indicazione \u00e8 che la tutela della persona passa anche dalla riduzione quanto pi\u00f9 possibile dei dati che vengono trattati rispetto a quella persona. Tutto ci\u00f2 che non \u00e8 necessario non deve essere trattato. In ci\u00f2 possiamo dire quindi che la necessit\u00e0 descrive quello che viene definito in modo pi\u00f9 dettagliato, in modo pi\u00f9 specifico il principio di minimizzazione. Il principio di minimizzazione<\/strong> \u00e8 proprio il principio in forza del quale i sistemi di trattamento dei dati personali devono ridurre al minimo l\u2019utilizzo dei dati che servono. Quindi se lo stesso obiettivo lo posso raggiungere con meno dati o magari con dati anonimi o con degli pseudonimi o comunque con dei dati che non sono tali da ricondurmi direttamente all\u2019interessato, allora devo farlo, io titolare devo rendere il trattamento il meno impattante possibile rispetto all\u2019utilizzo dei dati che si vanno ad ad utilizzare. Non solo, a questo il principio di minimizzazione si affianca sempre il principio di esattezza. Il principio di esattezza<\/strong> lo ritroviamo sempre in questa lettera c, quando ci viene detto che i dati devono essere esatti. Cosa vuol dire che devono essere esatti? Vuol dire che devono essere sempre adeguati a descrivere, a rappresentare l\u2019identit\u00e0 dell\u2019interessato, quindi ci\u00f2 vuol dire che devono essere anche aggiornati. Quindi l\u2019esattezza include anche l\u2019aggiornamento. Se dei dati non sono pi\u00f9 idonei a descrivere, a rappresentare un certo individuo, allora non sono esatti. E quindi non possono essere pi\u00f9 utilizzati proprio perch\u00e9 il titolare deve sempre trattare dati ridotti al minimo ma esatti, quindi perfettamente adeguati a descrivere il soggetto da tutelare. La differenza qual \u00e8 tra questi due principi di minimizzazione e di esattezza: che la minimizzazione pone un limite all\u2019attivit\u00e0 del trattamento, perch\u00e9 dal punto di vista qualitativo e quantitativo pone proprio un limite di contenuto all\u2019attivit\u00e0 che il titolare svolge. Invece l\u2019esattezza pone in capo al titolare non un limite, ma un onere e cio\u00e8 l\u2019onere di assicurarsi che ci sia sempre una fedelt\u00e0 contenutistica delle informazioni che utilizza, cio\u00e8 le informazioni che utilizza devono essere fedeli, rispondenti a rappresentare adeguatamente il soggetto. E quindi questo vuol dire non solo che questi devono essere fedeli all\u2019inizio ma che anche nel tempo \u00e8 necessaria una costante progressiva corrispondenza e quindi eventualmente una modifica, un aggiornamento, un\u2019integrazione rispetto ai dati che ha nella sua disponibilit\u00e0. Anche qui obbligo del titolare di rispettare l\u2019esattezza dei dati, dall\u2019altro lato diritto dell\u2019interessato a chiedere la modifica, l\u2019integrazione e l\u2019aggiornamento dei suoi dati.<\/p>\n\n\n\n

La necessit\u00e0, oltre ad esprimere minimizzazione e esattezza, esprime anche quello che \u00e8 stato definito il principio di precauzione<\/strong>. La precauzione \u00e8 un\u2019altra faccia della necessit\u00e0 laddove si richiede al titolare di valutare ex-ante, quindi a priori, che effettivamente il dato sia pertinente rispetto alla finalit\u00e0. Ecco questa parola pertinente fonda questo principio di precauzione per cui il titolare ha l\u2019onere, ha l\u2019obbligo di accertarsi, di assicurare che i dati che chiede siano pertinenti rispetto al trattamento. Ancora sempre dentro la necessit\u00e0 si esprime il principio di proporzionalit\u00e0<\/strong>, sempre legato alla quantit\u00e0 e alla qualit\u00e0 dei dati. Proporzionalit\u00e0 che diviene un canone proprio ermeneutico di tutta la disciplina. Peraltro la proporzionalit\u00e0 non riguarda solo il titolare, nel senso che il titolare \u00e8 tenuto a ponderare l\u2019utilizzo dei dati affinch\u00e9 questo utilizzo sia proporzionato alle finalit\u00e0 che che vuole perseguire ma addirittura con la proporzionalit\u00e0 andiamo ad individuare un canone ermeneutico che oltre a riguardare il titolare riguarda anche i legislatori nazionali. Ci\u00f2 vuol dire che tutti i legislatori nazionali nel momento in cui intervengono rispetto alla disciplina dei dati personali per ci\u00f2 che \u00e8 oltre il GDPR (perch\u00e9 il GDPR \u00e8 un regolamento, quindi i legislatori nazionali non lo possono modificare, n\u00e9 lo devono implementare a livello nazionale), per\u00f2 per qualsiasi aspetto che tratti i dati personali da un punto di vista di legislazione interna, quindi nazionale degli Stati membri, i legislatori devono sempre essere guidati da questa stella polare della proporzionalit\u00e0 rispetto all\u2019utilizzo dei dati, perch\u00e9 dobbiamo sempre ricordarci che quando noi normiamo la disciplina dei dati personali dobbiamo sempre bilanciare l\u2019obiettivo di tutela della persona con l\u2019obiettivo di circolazione di dati da incentivare, favorire e promuovere nell\u2019ambito di una economia di mercato che si fonda ormai quasi interamente sul digitale, quindi nell\u2019ottica del funzionamento del mercato. <\/p>\n\n\n\n

A chiusura dell\u2019articolo 5 abbiamo la positivizzazione di ulteriori principi che sono in particolare il principio di integrit\u00e0 e di riservatezza e il principio di responsabilizzazione del titolare<\/strong>. Il titolare si deve occupare, deve far s\u00ec che i dati vengano posti in una condizione di adeguata sicurezza<\/strong>. Adeguata sicurezza vuol dire che devono essere conservati in un modo tale che consenta l\u2019identificazione del soggetto interessato, per il tempo necessario al perseguimento delle finalit\u00e0 e nell\u2019ambito di questa conservazione devono essere adottate tutte le misure necessarie a che non vi sia un trattamento illecito, una dispersione dei dati, la loro perdita, la loro distruzione, la loro cancellazione accidentale o comunque una qualsiasi forma di data breach, quindi di ingerenza di terzi rispetto ai dati detenuti dal titolare. Quindi quando l\u2019articolo 5 dice che questa sicurezza che il titolare deve garantire deve essere adeguata, il concetto di adeguatezza delle misure di sicurezza adottate \u00e8 un aspetto che riguarda innanzitutto proprio la pretesa nei confronti del titolare. E in secondo luogo ovviamente proprio la considerazione delle misure tecniche organizzative che il titolare pone in essere. In generale il titolare deve adottare le migliori misure possibili contestualizzate alla sua situazione perch\u00e9 ovviamente implementare delle misure di sicurezza dei dati ha un costo. Quindi anche l\u2019adeguatezza la dobbiamo considerare in base al soggetto che \u00e8 chiamato a porre in essere queste misure di sicurezza in relazione ai costi, in relazione alle possibilit\u00e0 e anche in relazione allo sviluppo tecnologico perch\u00e9 lo sviluppo tecnologico \u00e8 a sua volta un parametro di sicurezza: magari determinate misure che oggi sono considerate ottimali per proteggere i dati personali nel tempo diventano meno forti, pi\u00f9 accessibili pi\u00f9 by-passabili magari da esperti di questo tipo di attivit\u00e0. E poi appunto anche lo sviluppo tecnologico oltre ai costi, alle possibilit\u00e0, \u00e8 un parametro per valutare l\u2019adeguatezza delle misure che sono scelte dal titolare del trattamento per proteggere i dati. Ci\u00f2 che emerge un po\u2019 da queste battute su questa parte finale l\u2019articolo 5 \u00e8 che il GDPR spinge molto per una responsabilizzazione del titolare<\/strong>, quindi il titolare non pu\u00f2 ricevere questi dati, trattarli, poi quello che succede succede. Il titolare risponde proprio di tutte le attivit\u00e0 che riguardano i dati quindi non soltanto quelle pi\u00f9 strettamente legate ad un utilizzo dei dati ma anche alla loro appunto protezione e in questo senso quindi il titolare viene onerato con un obbligo positivizzato di occuparsi sempre di limitare al minimo i rischi che gli interessati corrono una volta che permettono il trattamento dei loro dati personali. La logica \u00e8 quella di rendere il titolare soggetto responsabile, nel senso di soggetto proattivo, allo sviluppo di ogni attivit\u00e0 che sia idonea a garantire la tutela dei diritti e delle libert\u00e0 fondamentali delle persone fisiche. Perch\u00e9 se io proteggo i dati personali della persona st\u00f2 proteggendo ovviamente le sue libert\u00e0 individuali.<\/p>\n\n\n\n

Ecco, quindi, che il titolare \u00e8 tenuto ad adottare tutte le garanzie indispensabili, a utilizzare, a implementare tutte le misure tecniche e organizzative idonee a assicurare la tutela dei dati delle persone fisiche. E ovviamente nel far ci\u00f2 si dice che deve predisporre delle misure di tutela tecniche, organizzative, giuridiche. Gi\u00e0 dall\u2019utilizzo di questi termini riscontriamo come sia un tipo di contesto in cui effettivamente \u00e8 necessaria la presenza di diverse figure che si occupano di questa attivit\u00e0 di controllo del rischio da parte del titolare, proprio perch\u00e9 serve una visione integrata che tenga conto di tutti gli aspetti che vengono toccati dal trattamento, quindi da quelli pi\u00f9 strettamente informatici a quelli di attivit\u00e0 svolta dal titolare e magari anche quelle appunto pi\u00f9 strettamente legali. Ovviamente questa sicurezza deve essere garantita nel tempo, quindi anche questo principio diventa un principio che permea l\u2019intero rapporto perch\u00e9 deve essere garantita in ogni fase dell\u2019attivit\u00e0 di trattamento, quindi da intendersi un principio che si sviluppa in senso dinamico, deve essere ridefinita questa adeguatezza delle misure adottate nel tempo in base a quelle che sono le spese da sostenere e i progressi sotto il punto di vista tecnico. Ci\u00f2 vuol dire che il titolare \u00e8 tenuto a monitorare nel tempo, ad un\u2019attivit\u00e0 di monitoraggio per accertarsi di aver adottato le misure pi\u00f9 adeguate, proporzionate in relazione ai rischi perch\u00e9 i rischi anche sono in continuo mutamento. Ci\u00f2 che \u00e8 importante \u00e8 che esprime ancor di pi\u00f9 la responsabilizzazione <\/strong>che viene fatta del titolare e che il titolare deve essere addirittura in grado di dare prova in ogni momento di aver rispettato queste regole. Quindi serve anche una formalizzazione da parte del titolare di tutte le attivit\u00e0 che svolge per assicurarsi di aver posto in essere le migliori misure possibili. Perch\u00e9 gli pu\u00f2 essere richiesto di dimostrare di aver attuato la disciplina GDPR al 100%. In questo senso il principio di responsabilizzazione rispetto al quale vengono svolte tutte le attivit\u00e0 di cui sopra viene in qualche modo riportato nel termine della cosiddetta accountability. Si parla di accountability<\/strong> proprio con il termine inglese perch\u00e9 \u00e8 qualcosa che va oltre la responsabilit\u00e0, cio\u00e8 non solo il titolare \u00e8 responsabile ma in pi\u00f9 \u00e8 tenuto a questo ruolo, a questa funzione proattiva di tutela che insieme possono essere descritti con questa accountability, proprio perch\u00e9 accountability significa rendere conto. Quindi il titolare rende conto sia dal punto di vista di responsabilit\u00e0 sia dal punto di vista di attivit\u00e0 che \u00e8 chiamato a svolgere, quindi l\u2019accountability proprio come un termine che va a permeare tutte le politiche, le procedure, l\u2019agire del del titolare che deve sempre porre in essere questa attivit\u00e0 di controllo di gestione e di prevenzione del rischio nello svolgimento del trattamento. <\/p>\n\n\n\n

Gli istituti introdotti dal GDPR<\/strong><\/p>\n\n\n\n

Rispetto all\u2019accountability del titolare emergono, rilevano, due istituti particolari che sono introdotti dal GDPR. Che sono a loro volta l\u2019espressione non solo del principio di responsabilizzazione, dell\u2019accountability del titolare ma anche della minimizzazione che abbiamo visto prima, quindi della necessit\u00e0. Questi istituti sono due. Il primo \u00e8 espresso dall\u2019articolo 35<\/strong> del GDPR ed \u00e8 la valutazione di impatto<\/strong>. La valutazione di impatto deve essere eseguita, \u00e8 una valutazione preventiva di impatto, deve essere eseguita ogni volta che il trattamento dei dati personali – di cui bisogna verificare la proporzionalit\u00e0 rispetto alle finalit\u00e0 – presenti dei rischi elevati per i diritti e le libert\u00e0 delle persone fisiche. Quindi ogni volta che \u00e8 possibile che ci sia un rischio particolarmente elevato per i diritti e le libert\u00e0 delle persone fisiche, allora \u00e8 necessario preventivamente fare questa valutazione di impatto. E se la valutazione di impatto ci dice che effettivamente il rischio che l\u2019interessato corre \u00e8 particolarmente elevato e le misure adottate dal titolare possono non essere in grado di tutelare l\u2019interessato in modo nel modo opportuno, allora, prima di eseguire il trattamento, il titolare \u00e8 tenuto a consultare l\u2019Autorit\u00e0 Garante, il Garante per la Protezione dei Dati Personali. Quindi la valutazione di impatto come istituto nuovo introdotto dal GDPR con cui prevenire i rischi che l\u2019interessato pu\u00f2 correre in considerazione del trattamento che il titolare vuole svolgere.<\/p>\n\n\n\n

Oltre alla valutazione preventiva di impatto, un\u2019altra espressione della dell\u2019accountability \u00e8 quella che riscontriamo nei metodi cosiddetti di privacy by design e privacy by default<\/strong>, espressi dall\u2019articolo 25<\/strong> del GDPR. Privacy by design vuol dire protezione fin dalla progettazione, mentre privacy by default vuol dire protezione dei dati per impostazione predefinita. Sono dei metodi di tutela dei dati che il titolare \u00e8 tenuto ad esercitare nel senso che deve far s\u00ec che il trattamento per come \u00e8 impostato (impostazione predefinita) o per come progettato proprio fin dall\u2019inizio, sia strutturato in un modo tale da impedire o comunque da limitare il pi\u00f9 possibile il rischio di un trattamento che non protegga i dati personali. Ovviamente pure qui rientriamo nei principi citati in precedenza. Per esempio facciamo ipotesi di privacy by design, quindi protezione dei dati fin dalla progettazione, come faccio ad assicurarmi di proteggerli al meglio facendo s\u00ec che io utilizzi soltanto i dati pertinenti, soltanto i dati necessari, quindi rispettando il principio di minimizzazione, il principio di proporzionalit\u00e0 e principio di necessit\u00e0 al massimo? Sto rispettando la proporzionalit\u00e0, nel senso che li utilizzo soltanto per il periodo di tempo determinato? Insomma, nel momento in cui sto rispettando tutti questi principi li concretizzo nella progettazione del mio sistema di trattamento e quindi progetto l\u2019attivit\u00e0 di trattamento privacy by design, dal design, della progettazione dell\u2019attivit\u00e0 di trattamento in modo tale da concretizzare proprio tutti gli obblighi che il GDPR mi pone come titolare. Peraltro, nel momento in cui, nonostante io abbia adottato tutte le misure pi\u00f9 adeguate possibili, io titolare mi rendo conto che \u00e8 avvenuta una violazione dei dati, ho addirittura l\u2019obbligo della cosiddetta data breach notification<\/strong>. Quindi ho l\u2019obbligo di notificare l\u2019avvenuta violazione al Garante e l\u2019obbligo di comunicare l\u2019avvenuta violazione agli interessati. Lo stesso soggetto che tratta i dati rispetto ai quali si \u00e8 verificata la violazione ha l\u2019obbligo di rendere nota questa notizia sia al Garante cos\u00ec che possa intervenire, sia agli interessati. Peraltro in tutto questo ambito entra in gioco anche un altro soggetto che affianca il titolare che \u00e8 nominato con l\u2019acronimo di DPO<\/strong> che sarebbe il Data Protection Officer<\/strong>. Questo \u00e8 un soggetto che tra le varie funzioni che ricopre con riferimento all\u2019implementazione di tutte le regole del GDPR \u00e8 incaricato in particolare proprio di verificare che il rispetto della normativa privacy sia costante, sia continuo da parte del titolare e infatti \u00e8 un soggetto che poi si occupa anche di svolgere attivit\u00e0 di rapporto, di contatto tra il titolare e l\u2019autorit\u00e0 di controllo e il garante, proprio perch\u00e9 ha questo ruolo di verificare in concreto il rispetto della normativa.<\/p>\n","protected":false},"excerpt":{"rendered":"

I principi del GDPR: liceit\u00e0, correttezza, trasparenza, finalit\u00e0, necessit\u00e0, esattezza, minimizzazione, proporzionalit\u00e0, precauzione, accountability. Continuiamo a muovere lungo il GDPR e in particolare dobbiamo analizzare quelli che sono i cosiddetti principi che guidano il GDPR. Cosa vuol dire questo? Vuol dire che sono i principi che il legislatore europeo ha voluto riconoscere, ha voluto utilizzare … Leggi tutto “Diritto dei dati – I principi del GDPR”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":0,"footnotes":""},"categories":[14,18],"tags":[],"class_list":["post-1315","post","type-post","status-publish","format-standard","hentry","category-digital-forensics","category-diritto"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=1315"}],"version-history":[{"count":26,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1315\/revisions"}],"predecessor-version":[{"id":1661,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1315\/revisions\/1661"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=1315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=1315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=1315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}