Sui principi di liceità, correttezza e trasparenza nel trattamento dei dati personali

Tempo di lettura stimato:6 Minuti, 13 Secondi

Come si è avuto modo di accennare in un precedente contributo su questo portale (premere qui per leggerlo) tali principi costituiscono il fondamento della tutela dei dati personali nell’impianto del GDPR, e rientrano nel novero dei principi elencati all’art. 5, lett. a).

Il considerando 39 afferma che qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto e che dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano, nonché la misura in cui i dati personali son o saranno trattati.

Il principio di liceità

Tale principio va interpretato in connessione con il principio di stretta legalità, come enunciato nei diritti fondamentali riconosciuti dalla Carta di Nizza, articolo 52, paragrafo 1. Quest’ultimo afferma che qualsiasi limitazione all’esercizio dei diritti e delle libertà deve essere prevista dalla legge e rispettare il nucleo essenziale di tali diritti e libertà. Le limitazioni devono essere proporzionate e funzionali a scopi di interesse generale riconosciuti dall’Unione o alla protezione dei diritti altrui.

L’articolo 52 della Carta di Nizza, letto insieme all’articolo 8, paragrafo 2, della Convenzione europea per la salvaguardia dei diritti dell’uomo, chiarisce che le limitazioni al diritto alla protezione dei dati personali, così come ad altri diritti fondamentali, devono essere previste dalla legge e devono essere proporzionate e necessarie in una società democratica. La stessa Convenzione afferma che non può esserci interferenza da parte dell’autorità pubblica nel diritto al rispetto della vita privata, a meno che questa interferenza non sia prevista dalla legge e sia necessaria per scopi come la sicurezza nazionale o la protezione dei diritti altrui.

Questi principi delineano il quadro normativo all’interno del quale si sviluppa la protezione dei dati personali, come anche di altri diritti fondamentali, con l’ausilio dell’interpretazione della Corte di Giustizia, fino all’attuale sistema del GDPR e della direttiva 2016/680/UE.

Per quanto riguarda specificamente il principio di liceità, come definito negli articoli 5, paragrafo 1, lettera a) e 6 del GDPR, esso svolge la funzione di identificare le basi legittime per il trattamento dei dati, bilanciando il diritto alla protezione dei dati con altri interessi in gioco. Tuttavia, la correlazione logica tra liceità, correttezza e trasparenza, come definita nell’articolo 5, paragrafo 1, lettera a), suggerisce che la legittimità del trattamento non riguarda solo le basi legali, ma anche la conformità complessiva con il diritto, rispettando i requisiti specifici prescritti dalla legge. Infatti, l’interpretazione della Corte europea dei diritti dell’uomo stabilisce che il trattamento dei dati personali è lecito solo se è conforme alla legge, mira a uno scopo legittimo e è necessario in una società democratica.

Il principio di correttezza

Tale principio può esser visto come l’applicazione dei principi di stampo civilistico della buona fede e della diligenza del buon padre di famiglia nell’attività del trattamento dei dati personali.

Esso prevede quindi il rispetto di norme etico deontologiche non codificate, che dispongono tutti quegli accorgimenti per rendere equilibrate le singole posizioni, adeguando il trattamento alle esigenze reciproche, oltre lo stretto dato normativo.

In ogni caso, il principio di correttezza, così come il principio di lealtà precedentemente citato, si riferisce principalmente al rapporto tra il titolare (e il responsabile) del trattamento e l’interessato. Insieme al principio di trasparenza, con il quale, come si è detto, è correlato nell’art. 5, par. 1, lett. a), costituisce un presupposto indispensabile per garantire una delle componenti fondamentali del diritto alla protezione dei dati personali: l’autodeterminazione informativa.

La correttezza, intesa anche come regola di condotta improntata alla lealtà, alla buona fede e al limite dell’abuso del diritto, deve guidare il titolare del trattamento lungo tutte le fasi, dalla raccolta all’elaborazione, all’archiviazione e alle operazioni correlate.

Il principio di trasparenza

Anch’esso può considerarsi come un principio funzionale all’autodeterminazione informativa dell’interessato, che più precisamente mira a rendere consapevole l’interessato delle caratteristiche essenziali del trattamento dei propri dati, consentendogli, se del caso, di esercitare il diritto di revoca previsto dall’articolo 7, paragrafo 3.

In particolare, secondo quanto precisato dalle Linee guida del Gruppo di lavoro sull’articolo 29 (WP29), il principio di trasparenza viene qualificato esplicitamente come un’espressione del principio di correttezza del trattamento ed è strettamente correlato al principio di responsabilizzazione. Il titolare del trattamento deve essere in grado di dimostrare che i dati sono trattati in modo trasparente nei confronti dell’interessato.

Tale principio, contribuisce a instillare fiducia negli interessati, aumentando la loro consapevolezza sull’utilizzo dei propri dati personali e consentendo loro, se necessario, di contestarne le modalità. Come specificato dal Considerando 39, il principio di trasparenza richiede che gli interessati siano informati sulle modalità di raccolta, utilizzo, consultazione o altro trattamento dei loro dati personali e sulla portata di tale trattamento. Inoltre, viene sottolineata l’importanza di rendere facilmente accessibili e comprensibili le informazioni e le comunicazioni relative al trattamento dei dati personali, utilizzando un linguaggio semplice e chiaro. Questo principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento, sulle finalità del trattamento e su ulteriori informazioni per garantire un trattamento corretto e trasparente rispetto alle persone coinvolte e ai loro diritti di conferma e comunicazione del trattamento dei dati personali che li riguardano, ed implica quindi la necessità di sensibilizzare le persone sui rischi, sulle norme, sulle garanzie e sui diritti relativi al trattamento dei dati personali, nonché sulle modalità per esercitare tali diritti. Il principio è declinato e valorizzato attraverso gli obblighi imposti al titolare del trattamento, che deve fornire informazioni specifiche per rendere gli interessati consapevoli di alcuni aspetti essenziali del trattamento. Questo rende il trattamento prevedibile e comprensibile nella sua dinamica e nel suo impatto.

Sono rilevanti, in questo contesto, gli articoli da 12 a 14 del GDPR relativi alle informazioni da fornire agli interessati, l’articolo 22 GDPR sul processo decisionale automatizzato (che garantisce il diritto dell’interessato di contestare le decisioni prese dal titolare, conoscendo anche la logica sottostante, come previsto dal Considerando 63) e l’articolo 34 GDPR, che impone al titolare di comunicare all’interessato (oltre che all’autorità di controllo) la violazione dei dati personali “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, al fine di renderlo consapevole delle possibili conseguenze.

Conclusioni

In virtù di tutto quanto sin qui esposto, si può facilmente affermare che i principi di liceità, correttezza e trasparenza del trattamento, sanciti nel GDPR, rappresentano certamente dei pilastri fondamentali nel quadro normativo della protezione dei dati personali. Essi contribuiscono a garantire la fiducia degli interessati nel trattamento dei loro dati e a promuovere la consapevolezza dei loro diritti. Attraverso l’obbligo di informare gli interessati sulle modalità di trattamento, sulle finalità e sui rischi associati, tali principi favoriscono una condotta diligente da parte dei titolari del trattamento e consentono agli interessati di esercitare in modo efficace i propri diritti.

In un siffatto contesto, l’interazione tra i principi di correttezza, trasparenza e responsabilizzazione costituisce un meccanismo essenziale per assicurare la conformità del trattamento dei dati personali ai requisiti normativi e per tutelare i diritti e le libertà degli interessati.

Per approfondire:

- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;

- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;

- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; 

- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; 

- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

Sui profili del trasferimento dei dati nell’ambito del cloud computing - Luglio 14, 2024
Riflessioni a margine del convegno di Informatica Giuridica dell’Osservatorio permanente delle novità giurisprudenziali di legittimità del Consiglio dell’Ordine degli Avvocati di Napoli - Luglio 10, 2024
Sulla nozione di trasferimento dei dati personali - Luglio 1, 2024
Sul principio della net neutrality - Giugno 24, 2024
Quando è obbligatorio nominare il D.P.O. - Giugno 17, 2024

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.