In linea di principio, il GDPR vieta il trattamento dei dati personali, a meno che non sia condotto per scopilegittimi e leciti[1].
Uno scopo descrive un obiettivo concreto che deve essere raggiunto attraverso l’elaborazione.
La legittimitàsignifica il rispetto della legge (non solo il GDPR), lo spirito della legge (ad esempio, senza sfruttare le scappatoie legali), i valori sociali (come viene espresso, ad esempio, nella Carta europea dei diritti fondamentali), e i principi di etica. In alcune aree di ricerca, il rispetto dell’etica può essere verificato in procedure formali come l’approvazione di un comitato etico di ricerca.
La liceità è definita nell’articolo 6 del GDPR. In particolare, perché il trattamento sia lecito, le sue finalità devono rientrare in una delle sei categorie previste che sono chiamate base giuridica[2]. I Titolari del trattamento sono autorizzati a trattare i dati personali solo se possono presentare una base giuridica valida.
Per quanto riguarda il problema affrontato dalla protezione dei dati, ciò significa che l’acquisizione di potere sulle persone è consentita solo quando serve a scopi legittimi del tipo previsto dal GDPR.