In Capire la protezione dei dati: il regolamento UE in poche parole, la maggior parte delle proprietà richieste in questo principio sono state discusse in termini di bilanciamento del potere tra il titolare del trattamento e gli interessati. Questo è riassunto nel seguente: Sia la liceità che la legittimità delle finalità è presentata come un pre-requisito perché il trattamento sia ammissibile. Vedere 1.5 Per quali scopi è permesso il trattamento per i dettagli. La correttezza non è stata discussa nell’introduzione. Probabilmente, bilanciando il potere tra il titolare del trattamento e gli interessati, l’intero GDPR riguarda l’equità. La trasparenza è stata presentata come un pre-requisito per la responsabilità. Vedi 1.6.1 I titolari del trattamento sono pienamente responsabili dei dettagli.
Il GDPR definisce il principio come segue:
Definizione nell’art. 5(1)(a) GDPR:
I dati personali devono essere trattati in modo legale, equo e trasparente nei confronti della persona interessata (“liceità, equità e trasparenza”); |
La legalità, l’equità e la trasparenza sono discusse più in dettaglio nel seguito.
Prerequisito per la legittimità: scopi specifici ed espliciti
La liceità è un requisito per le finalità del trattamento[1]. È quindi impossibile ragionare su di essa senza prima conoscere le precise finalità che vengono perseguite dal trattamento. Per questo motivo, il requisito dell’art. 5(1)(b) che le finalità devono essere specificate ed esplicite è discusso qui come un prerequisito:
I dati personali sono raccolti per scopi specifici, espliciti e legittimi |
Scopi specifici:
Il gruppo di lavoro sulla protezione dei dati dell’articolo 29 scrive[2]:
“La specificazione delle finalità è al centro del quadro giuridico stabilito per la protezione dei dati personali. Per determinare se il trattamento dei dati è conforme alla legge, e per stabilire quali garanzie di protezione dei dati devono essere applicate, è una precondizione necessaria per identificare lo o gli scopi specifici per i quali è richiesta la raccolta di dati personali.”
La specificazione può essere vista come il primo compito della concettualizzazione di un’attività di elaborazione che guida tutte le decisioni successive:
- se il trattamento è lecito, cioè legittimo,
- cosa comporta l’attuazione del trattamento necessario per raggiungere gli scopi, e
- quali garanzie di protezione dei dati dovrebbero essere applicate.
Il gruppo di lavoro afferma[3] inoltre:
“Lo scopo della raccolta deve essere chiaramente e specificamente identificato: deve essere sufficientemente dettagliato per determinare quale tipo di trattamento è e non è incluso nello scopo specificato, e per permettere che la conformità con la legge possa essere valutata e le garanzie di protezione dei dati applicate.”
e
Per queste ragioni, uno scopo vago o generale, come per esempio “migliorare l’esperienza degli utenti”, “scopi di marketing”, “scopi di sicurezza informatica” o “ricerca futura”, senza maggiori dettagli, di solito non soddisfa i criteri di specificità“.
Scopi espliciti:
Il gruppo di lavoro afferma inoltre[4]:
“I dati personali devono essere raccolti per scopi espliciti. Gli scopi della raccolta non devono essere solo specificati nella mente delle persone responsabili della raccolta dei dati. Devono anche essere resi espliciti. In altre parole, devono essere chiaramente rivelati, spiegati o espressi in qualche forma intelligibile“.
Si noti che l’obbligo di rendere esplicite le finalità è strettamente legato all’informazione degli interessati sulle finalità del trattamento (cfr. art. 13(1)(c) e 14(1)(c) GDPR).
Sulla base del prerequisito degli scopi espliciti specificati, la legittimità e la liceità possono essere discusse.
Legittimità e legalità
Mentre l’art. 5(1)(a) GDPR parla solo di legittimità, il requisito strettamente correlato della legittimità è indicato nell’Art. 5(1)(b) GDPR. Poiché entrambi esprimono requisiti relativi alle finalità del trattamento, sono discussi qui insieme.
L’art. 5(1)(b) GDPR afferma:
I dati personali sono raccolti per scopi determinati, espliciti e legittimi e […] |
Il GDPR non fornisce una definizione di legittimità, ma il gruppo di lavoro dell’articolo 29 sulla protezione dei dati fornisce quanto segue: [5]
Il requisito della legittimità significa che gli scopi devono essere “conformi alla legge” nel senso più ampio. Questo include tutte le forme di diritto scritto e comune, la legislazione primaria e secondaria, i decreti municipali, i precedenti giudiziari, i principi costituzionali, i diritti fondamentali, altri principi giuridici, così come la giurisprudenza, come tale “diritto” sarebbe interpretato e preso in considerazione dai tribunali competenti. |
La legittimità è quindi un requisito molto ampio. Questo diventa ancora più significativo se si considera che alcune legislazioni, come la Clinical Trial Regulation[6], includono anche requisiti etici. Ma anche quando l’etica non è prescritta dalla legge, c’è il pericolo che scopi chiaramente non etici possano essere considerati anche illegittimi. Per esempio, questo può essere il caso in cui il trattamento avviene in spregio a una disapprovazione da parte di un comitato etico di ricerca.
A differenza della legittimità, la liceità è effettivamente definita nel GDPR. Vale a dire, l’art. 6(1) GDPR recita:
Il trattamento è lecito solo se e nella misura in cui si applica almeno una delle seguenti condizioni: […] |
Nell’omissione rappresentata da […], sono elencate sei possibili cosiddette basi giuridiche. Esse possono essere viste come categorie di scopi. Queste sono descritte più dettagliatamente nella sezione seguente.
Equità
Probabilmente, tutta la protezione dei dati e quindi il GDPR riguarda l’equità verso gli interessati. Il GDPR può essere visto nello spiegare cosa significa concretamente l’equità.
Quindi la sua menzione esplicita come principio può essere considerata come una “clausola di ripiego” per il caso in cui un requisito concreto di equità non sia stato esplicitamente dichiarato nel GDPR. Anche in questo caso, il principio di equità impedirebbe qualsiasi “scappatoia” nel GDPR.
Mentre l’intero GDPR può essere considerato una questione di equità, la sezione di seguito fornisce alcuni esempi in cui la correttezza è particolarmente evidente.
Trasparenza
La trasparenza è un concetto ben compreso ed è un pre-requisito chiave per la responsabilità nel GDPR. L’obiettivo principale della trasparenza è quello di informare in anticipo[7] gli interessati dell’esistenza del trattamento e delle sue caratteristiche principali. Altre informazioni (come i dati sulla persona interessata) sono disponibili su richiesta. Gli interessati devono anche essere informati di alcuni eventi, in particolare le violazioni dei dati (nel caso in cui l’interessato sia esposto a un rischio elevato). La trasparenza è anche supportata dai titolari del trattamento che designano un responsabile della protezione dei dati (DPO) che agisce come unico punto di contatto per le preoccupazioni degli interessati. Nel GDPR, gli interessati sono autorizzati ad essere i principali guardiani dei loro diritti e delle loro libertà. Evidentemente, la trasparenza è un prerequisito per individuare e intervenire in caso di non conformità.
Le autorità di controllo, come ovvio dal loro nome, sono anche custodi del rispetto del GDPR, anche se il loro coinvolgimento è spesso innescato da reclami presentati dagli interessati[8]. Ci sono requisiti di trasparenza per i titolari del trattamento che sono specificamente rivolti ai titolari del trattamento di vigilanza, tra cui le registrazioni del trattamento (vedi Documentazione del trattamento nella sezione “Strumenti e azioni principali” della Parte II) e le valutazioni d’impatto sulla protezione dei dati (vedi la sezione con lo stesso nome in “Strumenti e azioni principali”, Parte II di queste Linee guida). Il fatto che i titolari del trattamento debbano rispondere[9] alle autorità di controllo e che debbano permettere indagini e audit in loco[10] implementa [11]ulteriormente la trasparenza.
- Non rientra nello scopo di questo documento fornire un’analisi giuridica approfondita del concetto di finalità al di là del suo significato nel linguaggio comune. Si deve solo sottolineare che le finalità del trattamento di solito sono legate a un obiettivo che il titolare persegue. Tali obiettivi dovrebbero essere concreti (molto più che teorici) ed è spesso possibile determinare se l’obiettivo è stato raggiunto o misurare in che misura è stato raggiunto. ↑
- Evidenziazione aggiunta dall’autore, per la citazione si veda la pagina 15 di: Gruppo di lavoro articolo 29 sulla protezione dei dati, 00569/13/IT, WP203, Parere 03/2013 sulla limitazione delle finalità, adottato il 2 aprile2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (ultima visita 27/05/2020). ↑
- WP203, pagina 15, evidenziazione aggiunta dall’autore. ↑
- WP203, pagina 17, evidenziazione aggiunta dall’autore. ↑
- WP203, pagina 20, , evidenziazione aggiunta dall’autore. ↑
- REGOLAMENTO (UE) N. 536/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 16 aprile 2014 sulla sperimentazione clinica di medicinali ad uso umano e che abroga la direttiva 2001/20/CE, https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-1/reg_2014_536/reg_2014_536_en.pdf (ultima visita 27/05/2020). ↑
- Up-front qui significa che gli interessati dovrebbero essere consapevoli del trattamento prima che abbia luogo. Non implica un certo metodo di fornire informazioni o esclude modi dinamici di fornire le informazioni necessarie. ↑
- Vedi l’art. 57(1)(f) GDPR. ↑
- Vedi l’art. 58(1)(a) GDPR. ↑
- Vedi l’art. 58(1)(f) GDPR. ↑
- Vedi l’art. 58(1)(b) GDPR. ↑