Bud P. Bruegger (ULD)
Ringraziamenti: Gli autori ringraziano la revisione e i suggerimenti di Giuseppe D’Acquisto, Senior Technology Advisor, Garante per la Protezione dei Dati Personali. |
Questa sezione delle Linee guida è stata convalidata da José Luis Piñar, ex presidente dell’Agenzia spagnola di protezione dei dati e attualmente Cattedratico dell’insegnamento universitario Google: Privacy, Società e Innovazione della Universidad CEU-San Pablo, Madrid
La sezione Capire la protezione dei dati: il Regolamento UE in poche parole ha fornito una panoramica del GDPR. Ha quindi anche introdotto i principi della protezione dei dati, come contenuto nel Capitolo 2 “Principi” del GDPR e lì in particolare nell’Art. 5 “Principi relativi al trattamento dei dati personali”. Mentre Understanding data protection: the EU regulation in a nutshell ha scelto una struttura che motiva il contenuto del GDPR in termini di potere, la presente sezione segue la struttura dell’Art. 5 GDPR. Essa discute ogni principio in modo più dettagliato.
I principi esprimono la seguente struttura:
- Condizioni sulle finalità del trattamento: che tipo di scopi perseguiti dal trattamento dei dati personali sono consentiti è descritto nell’ 5(1)(a) e 5(1)(b) GDPR. Il trattamento dei dati personali per finalità che non soddisfa queste condizioni non è consentito. Le condizioni sono:
- Liceità (art. 5(1)(a) GDPR);
- Legittimità (art. 5(1)b) GDPR).
- Condizioni per l’attuazione del trattamento: Quando la finalità soddisfa i criteri di cui sopra, per essere consentita, l’attuazione del trattamento deve inoltre soddisfare alcune condizioni. Queste sono descritte nell’Art. 5(1)(a) sebbene 5(1)(f); in particolare l’attuazione:
- deve essere equo (art. 5(1)(a) GDPR);
- deve essere trasparente (art. 5(1)(a) GDPR);
- deve essere limitato agli scopi dichiarati (art. 5(1)(b) GDPR);
- deve utilizzare il minimo di dati che è necessario per gli scopi (art. 5(1)(c) GDPR);
- deve utilizzare solo dati precisi (art. 5(1)(d) GDPR);
- deve utilizzare il grado minimo di identificazione degli interessati che è necessario per le finalità (art. 5(1)(e) GDPR);
- deve essere sicuro (art. 5(1)(f) GDPR).
Inoltre, secondo l’art. 5(2) GDPR, per i titolari del trattamento di rispettare il GDPR significa che il loro trattamento:
- soddisfa tutte le condizioni di cui sopra e
- i titolari del trattamento sono in grado di dimostrarlo.
Per aiutare i lettori a capire il GDPR, la discussione dettagliata dei principi di cui sopra utilizza la struttura fornita dalla legge. Ciò significa che un punto del GDPR viene discusso alla volta. Ogni punto dell’Art. 5(1) e Art. 5(2) sono quindi chiamati un principio. Il nome del principio che è previsto dal GDPR corrisponde ai titoli utilizzati per le sezioni seguenti. In alcuni casi, diverse condizioni di cui sopra rientrano in un unico principio.
Ci sono due eccezioni alla strutturazione della seguente discussione per paragrafo dell’art. 5 GDPR. Sono motivate da una maggiore chiarezza e discutono le dichiarazioni fornite in un paragrafo del GDPR sotto il principio (cioè, il significato principale) fornito in un altro paragrafo. Vale a dire, le eccezioni sono che:
- il requisito che le finalità debbano essere specificate, esplicite e legittime (previsto dall’art. 5(1)(b) GDPR) viene discusso insieme alla liceità, correttezza e trasparenza (dell’art. 5(1)(a) GDPR). 5(1)(a) GDPR), e
- la dichiarazione sul periodo di conservazione relativo a certi tipi di trattamento (prevista dall’art. 5(1)(e) GDPR) viene discussa insieme alla minimizzazione dei dati (dell’Art. 5(1)(c) GDPR) poiché, probabilmente, il periodo di conservazione è pertinente al fatto che i dati siano (temporalmente) “limitati a quanto necessario in relazione alle finalità“.
La seguente tabella fornisce una panoramica di come i principi si riferiscono alle lettere dell’articolo 5 GDPR.
Arte. 5(1)(a) | Arte. 5(1)(b) | Arte. 5(1)(c) | Arte. 5(1)(d) | Arte. 5(1)(e) | Arte. 5(1)(f) | Arte. 5(2) | |
Legittimità e legalità | |||||||
Equità | |||||||
Trasparenza | |||||||
Limitazione dello scopo | |||||||
Minimizzazione dei dati | |||||||
Precisione | |||||||
Limitazionedella conservazione (minimizzazione del potenziale di identificazione) | |||||||
Integrità e riservatezza | |||||||
Responsabilità |
La discussione di ogni principio è strutturata come segue:
- Una descrizione astratta del principio,
- una breve discussione degli articoli correlati e dei considerando del GDPR adatti a fornire una comprensione più profonda del principio, e
- esempi di misure tecniche o organizzative concrete che possono essere utilizzate per attuare il principio.
La descrizione cerca di catturare l’essenza del principio. La sezione sugli articoli correlati e i considerando indica i punti del GDPR che descrivono più in dettaglio come il principio deve essere applicato concretamente. Questa sezione può essere in una prima lettura e consultata quando si desidera una comprensione più profonda. La sezione sulle misure fornisce una lista non esaustiva di esempi di come ogni principio può essere implementato nella pratica.
Il resto di questo capitolo descrive i principi elencati nell’Art. 5 GDPR utilizzando la struttura descritta.