La disciplina dei principi della protezione dei dati si sviluppa su piani differenti. Ci sono disposizioni generali sui principi, indicate all’art. 5 GDPR, e disposizioni specifiche, indicate agli articoli da 6 a 11 GDPR.
In questo breve contributo ci si soffermerà esclusivamente sulle disposizioni generali sui principi, le quali hanno una valenza che copre ogni aspetto della disciplina del trattamento dei dati personali e devono essere rispettate in ogni fase dello sviluppo del trattamento dei dati, ed annoverano i seguenti principi:
- liceità: è lecito un trattamento che non violi norme generali e specifiche dell’ordinamento;
- correttezza: vanno adottate una serie di accorgimenti per rendere equilibrate le singole posizioni adeguando il trattamento alle esigenze reciproche, oltre lo stretto dato normativo;
- trasparenza: vanno adottate modalità operative che tengano conto della possibilità di disclosure in ogni momento a richiesta dell’interessato, il che implica quindi anche una predisposizione organizzativa e di strumenti per eseguire la disclosure;
- limitazione delle finalità: gli scopi del trattamento devono essere determinati, espliciti e legittimi; trattamenti successivi a quelli iniziali non devono avere finalità incompatibile a quella originaria. Il rispetto di tale principio assume il significato di obbligazione contrattuale o di identificazione dei confini dell’attività istituzionale degli enti pubblici. Andare oltre le finalità significa inadempimento o sviamento;
- minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Il principio di minimizzazione ha un’efficacia trasversale e implica una riduzione al minimo del numero dei dati, del tipo dei trattamenti, dei soggetti che a vario titolo possono avere contezza dei dati, del periodo di conservazione;
- esattezza: i dati devono essere esatti e, se necessario aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti. Il canone dell’esattezza del dato è di relativa facile applicazione per i dati oggettivi, che sono o veri o falsi, mentre è di pressoché impossibile applicazione per i dati soggettivi, la cui valutazione più congrua è quella della correttezza. Nel concetto di esattezza rientra anche quella di aggiornamento di dati un tempo esatti e non più tali e di integrazione di dati un tempo completi e non più tali per sopravvenuta lacunosità;
- limitazione della conservazione: i dati devono essere trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale;
- responsabilizzazione: principio che attribuisce al titolare del trattamento l’obbligo giuridico di osservare il GDPR e dell’onere processuale della prova di averlo fatto.
Oggigiorno non si dovrebbe impiegare più tante parole per spiegare quanto il trattamento dei dati personali costituisca un aspetto cruciale nell’era digitale, e che pertanto, debba essere condotto con scrupolosa lealtà e correttezza. Nonostante ciò è sempre opportuno mantenere alta l’attenzione sulla sensibilizzazione degli individui sui rischi, sulle normative, sulle garanzie e sui diritti relativi al trattamento dei dati personali. Le persone dovrebbero essere consapevoli dei loro diritti e di come esercitarli in relazione alla gestione dei propri dati personali. E’ per questo che le finalità specifiche del trattamento debbono essere chiaramente esplicitate al momento della raccolta dei dati e che i dati stessi vengano limitati a quanto strettamente necessario per tali scopi. Da qui discende l’obbligo di adottare misure rigorose per garantire che i dati non siano conservati più a lungo del necessario e che siano eliminati quando non più necessari, attraverso l’istituzione di termini di conservazione e procedure di verifica periodica.
L’art. 5 GDPR, letto insieme al considerando 39 impone che le modalità di raccolta, utilizzo e gestione dei dati personali siano trasparenti per gli individui interessati, consentendo loro di comprendere appieno come le proprie informazioni vengano trattate. La trasparenza implica chiaramente la disponibilità di informazioni chiare e accessibili riguardanti il responsabile del trattamento e gli obiettivi del trattamento stesso, presentate in un linguaggio comprensibile e non tecnico. È essenziale, poi, che il trattamento dei dati venga svolto in modo sicuro e riservato per proteggere le informazioni da accessi o utilizzi non autorizzati. Ciò implica l’implementazione di adeguate misure di sicurezza per prevenire violazioni dei dati e proteggere l’integrità delle informazioni personali e delle infrastrutture utilizzate per il trattamento. Altrettanto importante poi, è il fatto che i dati raccolti non presentino errori e, nel caso essi vanno corretti o cancellati per garantire la loro precisione.
E’ il titolare del trattamento che deve assumersi la responsabilità generale di tutte le operazioni di trattamento di dati personali che svolge direttamente o che delega ad altri. A tal fine, l’art. 5 GDPR, letto con il considerando 74, suggerisce che il titolare del trattamento deve adottare misure appropriate ed efficaci per garantire il rispetto delle norme sulla privacy e per poter dimostrare la conformità delle sue attività di trattamento. Tali misure devono tenere conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del livello di rischio che esso comporta per i diritti e le libertà delle persone fisiche.
Quello della responsabilità generale del titolare del trattamento è un principio fondamentale del regolamento sulla protezione dei dati personali. Il titolare del trattamento deve infatti sempre garantire che il trattamento dei dati personali avvenga in modo conforme alle norme e ai principi stabiliti dal regolamento, sia che lo svolga direttamente sia che lo affidi a terzi. È essenziale considerare il livello di rischio per i diritti e le libertà delle persone fisiche coinvolte nel trattamento. E’ per questo che il titolare del trattamento, come accennato, deve dimostrare in modo tangibile l’efficacia delle misure adottate per garantire la protezione e la sicurezza dei dati personali.
Tutti questi principi costituiscono le fondamenta per un trattamento etico e responsabile dei dati personali, preservando i diritti e la privacy degli individui nell’era digitale.
Per approfondire:
- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019; - M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018; - R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; - S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; - A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esecuzione di un contratto con o in favore dell’interessato come deroghe al divieto di trasferimento transfrontaliero di dati personali - Ottobre 7, 2024
- Notifiche e depositi telematici: da oggi, 30 settembre, NON CAMBIA NULLA! - Settembre 30, 2024
- Il consenso dell’interessato come deroga al divieto di trasferimento transfrontaliero di dati - Settembre 23, 2024
- Sulle deroghe al divieto di trasferimento transfrontaliero di dati personali - Settembre 16, 2024
- Sulle norme vincolanti d’impresa nell’ambito del trasferimento transfrontaliero dei dati - Settembre 9, 2024