In Capire la protezione dei dati: il regolamento UE in poche parole, la limitazione delle finalità è stata motivata limitando l’uso del potere acquisito esclusivamente al raggiungimento degli scopi dichiarati e legittimi. (Vedi 1.6.4 Limitare i titolari del trattamento a usare il potere esclusivamente per raggiungere gli scopi legittimi dichiarati per i dettagli).

Il GDPR definisce il principio come segue:

Definizione nell’art. 5(1)(b) GDPR: I dati personali sono raccolti per finalità determinate, esplicite e legittime e non sono ulteriormente trattati in modo incompatibile con tali finalità; […] (“limitazione delle finalità“);

Si noti che la prima metà di questa frase è già stata discussa sotto il principio precedente. In particolare, il requisito che i fini debbano essere specificati ed espliciti era un prerequisito per poter parlare di legittimità; il requisito della legittimità riguarda i fini ed è stato quindi discusso insieme alla legittimità.

Ciò che viene discusso qui più in dettaglio è l’essenza di questo principio, vale a dire la limitazione al trattamento compatibilmente con le finalità. Questo è un requisito che riguarda l’attuazione dell’attività di trattamento, non le finalità.

Non trattate in modo incompatibile con questi scopi

La parte essenziale di questo principio è quindi contenuta nella mezza frase “non ulteriormente trattati in modo incompatibile con questi scopi”. Di seguito si analizza questa frase in modo più dettagliato.

La frase parla di compatibilità con gli scopi. È chiaro dalla prima metà della frase che questi sono gli scopi che sono stati esplicitamente specificati^[1] (vedi sezione 0 sopra). La parte dell’art. 5(1)(b) che è stata rappresentata da […] e di cui si parlerà in seguito utilizza anch’essa il concetto di “compatibilità con le finalità iniziali”. Le finalità iniziali sembrano quindi essere le stesse specificate (durante la concezione dell’attività di trattamento).

L’art. 5(1)(b) esprime quindi che il trattamento deve essere compatibile con:

• gli scopi iniziali stessi, o
• altri scopi che sono compatibili con questi scopi iniziali.

La prima segue dal ragionamento che i fini sono sempre compatibili con se stessi.

La formulazione dell’art. 5(1)(b) parla di “ulteriore trattamento”. Mentre questo potrebbe essere inteso temporalmente, cioè nel senso di “dopo che gli scopi iniziali sono stati raggiunti”, l’aspetto temporale sembra essere irrilevante per questo principio. Invece, “ulteriormente” ha il significato di “oltre” senza significato temporale e si riferisce puramente agli scopi.

La situazione è visualizzata in Figura 1:

Figura 1: L’elaborazione è consentita per gli scopi iniziali e compatibili.

È importante sapere che non è necessaria alcuna base giuridica aggiuntiva per un ulteriore trattamento per scopi compatibili. Questo è dichiarato esplicitamente nel considerando 50 del GDPR (2ª frase). Riferendosi all’ulteriore trattamento per scopi compatibili, afferma che:

In tal caso, non è richiesta alcuna base giuridica diversa da quella che ha permesso la raccolta dei dati personali.

Uso per scopi incompatibili

Questo solleva la questione di come può accadere di trattare dati personali per scopi incompatibili e quali sono le sue conseguenze.

Capire come l’elaborazione può avvenire è importante per poterla evitare. I tre esempi seguenti illustrano la questione senza pretesa di completezza:

• Function creep: è comune che le attività di trattamento si evolvano nel tempo. È anche comune che poi acquisiscano nuove funzionalità o “caratteristiche” che corrispondono a un trattamento aggiuntivo o modificato. Nei casi in cui il titolare del trattamento non riesce ad esercitare un controllo sufficiente su tale evoluzione, il trattamento può andare inosservato oltre gli scopi iniziali o compatibili.
• Mancanza di separazione: Supponiamo che un titolare del trattamento gestisca più attività di trattamento indipendenti che perseguono scopi distinti. Se il titolare del trattamento non implementa misure adeguate perseparare le diverse attività di trattamento, è facile che i dati raccolti per una serie di scopi siano usati per altri scopi. Questo è illustrato in Figura 2 e Figura 1.

Figura 2: Una mancanza di separazione porta all’uso di dati per scopi incompatibili.

• Destinatari che perseguono finalità proprie: I destinatari sono persone o organizzazioni a cui vengono comunicati dati personali (vedi definizione nell’art. 4(9) GDPR). I destinatari possono essere ad esempio:
  • dipendenti che accedono legittimamente ai dati su istruzione del titolare del trattamento per adempiere alle finalità compatibili del trattamento, o
  • attaccanti esterni che accedono illegittimamente ai dati attraverso una violazione^[2].

In quest’ultimo caso, è ovvio che il destinatario utilizza i dati personali per altri scopi. Sono proprio questi scopi che probabilmente hanno motivato l’attacco in primo luogo. Ma anche i dipendenti possono avere altri interessi nei dati rispetto al perseguimento degli scopi dichiarati dal loro datore di lavoro. Un primo esempio è quello in cui il dipendente conosce già la persona interessata e viene a conoscenza di informazioni che altrimenti non sarebbero accessibili.

Con la comprensione acquisita da questi esempi che illustrano come i dati possono essere utilizzati per altri scopi, si deve porre la questione delle possibili conseguenze.

In tutti i casi, i principi fondamentali di legalità e legittimità sono probabilmente violati. Secondo questi principi, il trattamento è vietato a meno che non sia giustificato da una dimostrata liceità e legittimità delle finalità. Questo ovviamente non è il caso quando il trattamento avviene per scopi incompatibili, e quindi ingiustificati.

L’uso dei dati al di fuori e oltre gli scopi giustificati permette anche ai titolari del trattamentodisonesti di accumulare potere. Questo può accadere, ad esempio, quando i titolari del trattamento combinano le serie di dati delle persone in attività di trattamento distinte, conservano e accumulano i dati quando non sono più necessari per gli scopi, ed eventualmente anche acquisiscono dati da altre fonti al fine di ottenere più potere sui loro interessati. Tale potere accumulato supera evidentemente il guadagno di potere che era giustificato da una dimostrata liceità e legittimità delle finalità iniziali.

È evidente che al di là della sola violazione dei principi della protezione dei dati, a seconda degli scopi per i quali i dati vengono (ab)usati, le persone interessate possono subire anche danni materiali o immateriali. Per esempio, la conoscenza di certi dati sulla salute può influenzare significativamente le relazioni quando sono accessibili a conoscenti o impedire opportunità di lavoro quando sono accessibili a potenziali datori di lavoro. Se usati per scopi criminali, alcuni tipi di dati possono essere la base per un ricatto.

Quando gli scopi sono compatibili?

Quanto segue discute come determinare se potenziali scopi aggiuntivi sono considerati compatibili. Si basa principalmente sull’art. 6(4) GDPR.

Nel caso in cui una base giuridica del consenso (vedi Art. 6(1)(a) GDPR) è stato scelto per il trattamento, un ulteriore trattamento per scopi aggiuntivi diversi da quelli compatibili pre-approvati (vedi sotto) sono considerati incompatibili^[3]. Questo perché il consenso è sempre specifico per le finalità specificate^[4]. “Ampliare” le finalità del trattamento oltre a quelle specificate a cui l’interessato ha acconsentito, sarebbe chiaramente ingiusto e poco trasparente.

L’art. 6(4) prevede poi i seguenti criteri che i titolari del trattamento devono utilizzare per determinare se uno scopo aggiuntivo è compatibile (riformulato leggermente rispetto al GDPR):

Qualsiasi legame tra gli scopi iniziali e gli scopi aggiuntivi in esame; il contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento; la natura dei dati personali, in particolare se comprendono categorie speciali di dati personali (cioè, sensibili) o se vengono trattati dati personali relativi a condanne penali e reati; le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; l’esistenza di garanzie adeguate, che possono includere la pseudonimizzazione.

Ulteriori indicazioni, compresi esempi di applicazione di questi criteri, sono disponibili presso il gruppo^[5] di lavoro dell’articolo 29 sulla protezione dei dati. Mentre questo parere si riferisce alla direttiva sulla protezione dei dati (cioè il predecessore o il GDPR), molti aspetti sono ancora ugualmente applicabili oggi.

Per semplificare la determinazione se gli scopi aggiuntivi sono compatibili, il GDPR pre-approva alcuni degli scopi aggiuntivi più comuni perseguiti nel trattamento successivo. Vale a dire, l’art. 5(1)(b) include quanto segue:

[Un ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali, conformemente all’articolo 89, paragrafo 1.

Il citato Art. 89(1) richiede la presenza di garanzie aggiuntive.

Qui, il citato Art. 89 GDPR impone che l’ulteriore trattamento per questi scopi pre-approvati è ammissibile solo se ci sono garanzie adeguate.

 

 

1. Queste sono anche le finalità che vengono comunicate agli interessati come richiesto dall’art. 13 e 14 GDPR). ↑
2. I titolari non sono responsabili delle azioni degli attaccanti, ma solo di prevenire gli attacchi attraverso adeguate misure di sicurezza. ↑
3. Si noti che l’art. 6(4) GDPR sugli scopi compatibili esclude esplicitamente che sia applicabile quando la base giuridica è il consenso. ↑
4. In particolare, questi scopi sono specificati nel dialogo che chiede il consenso e la specificazione è un aspetto importante dell’informazione del consenso. ↑
5. Gruppo di lavoro articolo 29 sulla protezione dei dati, 00569/13/EN, WP203, Parere 03/2013 sulla limitazione delle finalità, adottato il 2 aprile 2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (ultima visita 28/05/2020). ↑