Determinazione degli scopi
Home » GDPR » Concetti principali » Protezione dei dati per progettazione e per impostazione predefinita » Applicazione dei principi di protezione dei dati nelle diverse fasi del trattamento » Determinazione degli scopi

Un’attività di trattamento è concepita determinando i suoi scopi. Questo stabilisce l’obiettivo di ciò che l’attività di trattamento deve raggiungere. Questa specificazione di “cosa” deve essere fatto è ancora relativamente astratta e manca qualsiasi dettaglio di “come” questo obiettivo è raggiunto. Il “come” è soggetto alla determinazione dei mezzi.

Gli scopi sono generalmente determinati dal top management che rappresenta ed è responsabile di un’organizzazione (o unità organizzativa). Gli scopi sono generalmente espressi nella stessa lingua in cui sono espressi la missione o il mandato dell’organizzazione. Ciò significa che provengono dal “dominio applicativo” e non hanno alcun contenuto tecnico. Una specifica di scopo non è in grado di determinare decisioni tecniche come quali risorse (cioè, mezzi) sono necessari per raggiungere gli obiettivi, quali dati devono essere raccolti, ecc. Piuttosto, una specifica di scopo può essere implementata in molti modi diversi. L’obiettivo della determinazione dei mezzi è quindi quello di trovare la migliore implementazione dal punto di vista della protezione dei dati.

Secondo l’art. 5(1)(a) GDPR, gli scopi devono essere “specificati [ed] espliciti”. Ciò significa che devono essere registrati in una forma scritta precisa.

La determinazione degli scopi del trattamento è generalmente un processo iterativo. Iniziando con la/e finalità principale/i, la specifica viene continuamente completata e perfezionata fino ad arrivare a una versione finale. Ogni versione deve essere valutata, prendendo in considerazione i principi di protezione dei dati, le ragionevoli aspettative degli interessati e il rischio complessivo che il trattamento potrebbe comportare. Sulla base di questa valutazione, vengono apportati miglioramenti alla specifica delle finalità che migliorano il rispetto dei principi, sono più equilibrati con le aspettative degli interessati e mantengono la necessità/beneficio del trattamento in equilibrio con il rischio che esso comporta per gli interessati. Le iterazioni possono essere viste come un processo per trovare il minimo impatto sui diritti e le libertà degli interessati mentre si raggiungono gli obiettivi essenziali dell’organizzazione. Tipicamente, in ogni integrazione, la specifica dello scopo diventa più focalizzata, più stretta e specifica e impone un impatto minore sugli interessati.

Questo processo è visualizzato in Figura 1.

Figura 1: Il processo di specificazione dello scopo.

La protezione dei dati per progettazione applica i principi della protezione dei dati ad ogni passo della determinazione. Mentre alcuni dei principi di protezione dei dati sono meglio applicabili ai mezzi di trattamento, la legittimità, la liceità e l’equità sono direttamente applicabili alle finalità. Indirettamente, anche la minimizzazione dei dati è applicabile nel senso che l’impatto del trattamento sulle persone interessate dovrebbe essere ridotto al minimo. Questo poi si traduce generalmente in una minimizzazione dei dati che vengono raccolti sugli interessati. Si noti inoltre che la limitazione delle finalità durante la determinazione dei mezzi ha senso solo se le finalità sono specificate in modo ristretto; solo allora si può determinare con precisione se i dati o le fasi del trattamento sono effettivamente necessari per le finalità. I principi principali sono discussi più in dettaglio nel seguito.

Legalità (vedi “Legalità, equità e trasparenza” nella sezione “Principi” nella parte II di queste Linee guida):

Secondo l’art. 6 GDPR, il trattamento è lecito se si applica una delle basi giuridiche descritte nel suo paragrafo 1. L’art. 9 GDPR aggiunge ulteriori requisiti per categorie speciali di dati. Per rispettare il principio di liceità, il titolare del trattamento deve scegliere una base giuridica dall’art. 6 ed eventualmente 9 GDPR per ogni singola finalità che viene perseguita dall’attività di trattamento.

Si noti che è comune che un’attività di trattamento persegua una moltitudine di scopi che utilizzano diverse basi giuridiche. Un’illustrazione di questo usando l’esempio dello shopping online è stato descritto da Bruegger et. al[1].

Legittimità (vedi “Legalità, equità e trasparenza” nella sezione “Principi” nella parte II di queste Linee guida):

Mentre la liceità riguarda gli artt. 6 e 9 del GDPR, la legittimità richiede di seguire la legge nel senso più ampio. Non è quindi limitato al GDPR ma si estende a qualsiasi altra legge applicabile. Probabilmente, le leggi non dovrebbero essere seguite solo alla lettera ma anche nello spirito. In molte situazioni, la legittimità può anche essere interpretata per includere la soft law come i requisiti etici comunemente usati e gli standard professionali. Può anche estendersi a proteggere i valori della società in generale.

La valutazione della legittimità degli scopi dipende in gran parte dalla natura, dalla portata e dal contesto del trattamento. In alcuni casi, il rispetto della legittimità può richiedere passaggi formali. Questo è per esempio tipico nelle organizzazioni di ricerca dove un’attività di trattamento deve essere preventivamente approvata da un comitato etico di ricerca.

Equità (vedi “Legalità, equità e trasparenza” nella sezione “Principi” nella parte II di queste Linee guida):

Un elemento chiave dell’equità è prendere in considerazione le ragionevoli aspettative e situazioni degli interessati. Gli interessi del titolare del trattamento, come espressi nella specificazione dello scopo, sono poi bilanciati con quelli degli interessati. L’impatto sui diritti e le libertà degli interessati dovrebbe essere giustificato con un livello adeguato di necessità e benefici potenziali per il titolare del trattamento.

La valutazione dell’equità delle finalità richiede generalmente la valutazione delle aspettative degli interessati. Ci sono vari modi per farlo, compreso il semplice “mettersi nella posizione degli interessati” fino a coinvolgere le organizzazioni dei consumatori o realizzare indagini.

Per valutare le aspettative degli interessati, è spesso utile distinguere diverse persone che rappresentano diversi tipi e situazioni di interessati. Questi dovrebbero anche includere soggetti particolarmente vulnerabili (come i minori o i pazienti), o gruppi di soggetti che possono essere colpiti molto più significativamente dal trattamento rispetto alla media.

Il bilanciamento deve considerare i rischi che l’attività di trattamento rappresenta per i diritti e le libertà degli interessati. Una rapida valutazione globale del rischio è fornita dai 9 criteri[2] del Gruppo di lavoro per la protezione dei dati dell’articolo 29 se un’attività di trattamento comporta un rischio elevato (e quindi richiede una valutazione d’impatto sulla protezione dei dati). Questo dovrebbe essere integrato da un’analisi di come le categorie speciali di interessati e gli interessati vulnerabili sono interessati dall’attività di trattamento prevista.

Si noti che un test di bilanciamento è formalmente richiesto quando la base giuridica dell’interesse legittimo (cfr. art. 6(1)(f) GDPR) è stato scelto per un determinato scopo. Orientamenti su come realizzare un test comparativo in questo contesto sono stati forniti dal Gruppo di lavoro “Articolo 29” sulla protezione dei dati[3](cfr. “Interesse legittimo e test comparativo”, Parte II sezione “Strumenti e azioni principali”). In un contesto più generale, il GEPD ha fornito orientamenti sulla proporzionalità[4].

 

 

  1. Bud P. Bruegger, Eva Schlehahn e Harald Zwingelberg, Data Protection Aspects of Online Shopping – A Use Case, W3C Data Privacy Vocabularies and Controls Community Group, 12 dicembre 2019, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (ultima visita 15/7/2021).
  2. Vedi le pagine 9 – 11 in Article 29 Data Protection Working Party, WP 248rev.01, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, Adopted on 4 April 2017,As last Revised and Adopted on 4 October2017, https://ec.europa.eu/newsroom/article29/items/611236 (last visited 15/7/2021).
  3. in Article 29 Data Protection Working Party, WP217, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (last visited 15/7/2021).
  4. Garante europeo della protezione dei dati, Linee guida del GEPD sulla valutazione della proporzionalità delle misure che limitano i diritti fondamentali alla privacy e alla protezione dei dati personali, 19 dicembre 2019, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (ultima visita 15/7/2021).
Skip to content