Il principio di finalità del trattamento nel GDPR

Noto anche come "principio di limitazione delle finalità" riguarda appunto la legittimità della raccolta di determinati dati personali, i quali devono essere acquisiti secondo finalità specifiche.

In sostanza, la finalità definisce il motivo per il quale i dati vengono raccolti e trattati. Vediamo, in questo articolo, di fare chiarezza sull’argomento e capire meglio cosa prevede il Regolamento generale sulla protezione dei dati.

Cos’è il principio di finalità del trattamento

Il principio di finalità del trattamento viene affrontato all'articolo 5, paragrafo 1, del GDPR.

In base a quanto riportato nel testo integrale, infatti, il Regolamento stabilisce che i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime" e poi trattati in modo che non siano incompatibili con tali finalità.

Questo significa, innanzitutto, che il titolare del trattamento è tenuto a definire gli scopi in base ai quali ha intenzione di raccogliere e trattare i dati. E deve farlo in modo specifico, prima dell'inizio del trattamento.

Le finalità devono quindi essere comunicate in modo chiaro, esplicito e inequivocabile, per permettere all'interessato di essere a conoscenza di quali esse siano. Ciò si collega al tema del consenso (art. 7), che prevede - quando il trattamento si fonda sul consenso dell'interessato al trattamento dei propri dati personali - la capacità del titolare di dimostrare tale consenso.

Il consenso ai dati personali (che deve essere sempre revocabile) è valido se:

• all'interessato è stata fornita l'informazione sul trattamento dei dati personali;
• è stato espresso liberamente dall'interessato, in modo inequivocabile e per ogni finalità (qualora fossero più di una).

Mutamento di finalità del trattamento

Sempre all'articolo 5 - lettera b), paragrafo 1 - del GDPR viene specificato come "un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)".

Questo significa che, da un lato, non è possibile cambiare la finalità e trattare dati per fini diversi rispetto a quelli iniziali, solo perché tali dati sono già stati acquisiti. È quindi necessario un nuovo consenso per la nuova finalità.

Dall'altro lato, per le finalità compatibili con quelle iniziali, viene data la possibilità di un ulteriore trattamento dei dati raccolti, senza un nuovo consenso, per fini di:

• archiviazione nel pubblico interesse;
• ricerca scientifica o storica;
• fini statistici.

L'articolo 6, paragrafo 4, del GDPR prevede, inoltre, altri casi in cui è possibile il "trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti". Ovvero:

• trattamento basato sul consenso dell'interessato;
• trattamento basato su un atto legislativo dell'Unione o degli Stati membri "che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1";
• trattamento dei dati per finalità compatibili (il titolare del trattamento deve tenere conto di: ogni nesso tra le finalità dei dati raccolti e quelli dell'ulteriore trattamento; contesto in cui sono stati raccolti i dati; natura dei dati personali; possibili conseguenze del trattamento ulteriore per gli interessati; esistenza di garanzie adeguate).

Trattamento dei dati personali: i principi generali dell'articolo 5 GDPR

Abbiamo visto che la lettera b), paragrafo 1, dell'articolo 5 riguarda il principio di finalità del trattamento. Ma in realtà sono diversi i principi applicabili al trattamento dei dati personali, riportati all'articolo 5.

Alla lettera a), per esempio, si parla di liceità, correttezza e trasparenza del trattamento, nei confronti dell'interessato. Altri principi da menzionare sono:

• minimizzazione dei dati: essi devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati";
• esattezza e, se necessario, aggiornamento dei dati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente quelli inesatti rispetto alle finalità del trattamento;
• limitazione della conservazione: i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
• integrità e riservatezza: i dati devono essere trattati in modo da garantire una loro adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti, così come dalla loro perdita, distribuzione o danno accidentali.

Al paragrafo 2 dell'articolo 5, invece, viene introdotto il principio di “responsabilizzazione” (o accountability), che richiede al titolare del trattamento il rispetto dei principi sopra menzionati e di essere in grado di comprovarlo. Le responsabilità del titolare del trattamento sono poi specificate, nel dettaglio, all'articolo 24 del GDPR.

Per approfondire, su questo argomento potrebbe interessarti anche il seguente articolo del nostro blog: Il responsabile interno ed esterno al trattamento dei dati.

Vuoi essere certo che la tua azienda stia rispettando tutti gli obblighi di legge in tema di privacy e protezione dei dati personali? Contattaci senza impegno per richiedere la consulenza di un nostro professionista.

 

Scritto da: Elena Bonomi Consulente laureata in Scienze dei servizi giuridici e specializzata in sicurezza sul lavoro, appassionata di sport e chitarra.