Descrizione
Home » GDPR » Principi » Minimizzazione dei dati » Descrizione

In Capire la protezione dei dati: il regolamento UE in poche parole, la minimizzazione dei dati era motivata dal minimizzare il guadagno di potere del titolare del trattamento a quello che è minimamente necessario per soddisfare le finalità dichiarate e legittime. In particolare, ha affrontato la minimizzazione del contenuto informativo presente nei dati personali trattati. Questo completa la minimizzazione del grado di associazione che i dati hanno con la persona interessata, e la limitazione dell’accesso al potere. Vedi Minimizzazione del potere a ciò che è necessario per soddisfare le finalità dichiarate per il dettaglio.

Il GDPR definisce il principio come segue:

Definizione nell’art. 5(1)(c) GDPR:

I dati personali devono essere adeguati, pertinenti e limitati a ciò che è necessario in relazione alle finalità per le quali sono trattati (“minimizzazione dei dati“);

Evidentemente, questo è possibile solo se queste finalità sono specificate ed esplicite (come richiesto dall’art. 5(1)(b) GDPR).

Adeguato, pertinente e limitato

Adeguato e pertinente sono facili da capire: I dati inadeguati, cioè inadatti agli scopi, non possono essere raccolti o trattati; i dati devono anche essere pertinenti, cioè devono servire agli scopi.

Per comprendere l’aspetto della limitazione, è necessario uno sguardo più preciso su ciò che i dati significano effettivamente. In particolare, è intuitivo che non si tratta solo del numero di elementi di dati, ma del contenuto informativo effettivo dei dati. Di seguito lo illustreremo in relazione agli scopi:

  • Selezione: Quando un insieme di possibili elementi di dati è in considerazione, selezionare quelli che sono necessari per gli scopi. Si noti che se i dati sono già memorizzati, la selezione può anche essere intesa come cancellazione di elementi di dati non necessari. Altrimenti riguarda i dati che vengono effettivamente raccolti.
  • Risoluzione: Quando i dati sono disponibili a più risoluzioni possibili, limitare la risoluzione a ciò che è minimamente necessario per lo scopo. Per esempio:
    • Valori: esprimere i valori alla scala più grossolana che ancora supporta gli scopi,
      • per esempio, utilizzare una categoria di età (40-59 anni, risoluzione di 20 anni) invece di una data di nascita (risoluzione di un giorno),
    • Località: esprimere le località in termini di suddivisione geografica più grossolana possibile,
      • per esempio, utilizzare unità amministrative come zone di codice postale o province o celle di griglia invece di coordinate precise (di metri di risoluzione),
    • Serie temporali: esprimono serie temporali di dati alla frequenza di campionamento più grossolana che ancora supporta gli scopi,
      • questo può richiedere un ri-campionamento dei dati ottenuti da qualche sensore,
    • Impronte digitali: Se avete bisogno di confrontare solo insiemi di dati per l’uguaglianza, considerate di elaborare solo qualche “impronta digitale” dei dati.
      • Per esempio, un “valore di hash crittografico” (alias “digest”) dei dati può essere sufficiente per rilevare il cambiamento[1].
  • Livello di aggregazione: Dove possibile, scegliete un adeguato livello di aggregazione. La maggior parte dei valori di dati con cui abbiamo a che fare sono una forma di aggregazione, anche se questo può non essere evidente poiché può essere fatto “invisibilmente” da qualche sensore o metodo di raccolta dati. L’aggregazione è un modo di sostituire diversi elementi di dati con uno solo. I primi esempi vengono dalla statistica e includono la media, la mediana, il minimo e il massimo. Nel contesto della protezione dei dati, si devono distinguere due tipi di aggregazione:
    • Persona singola: Aggregazione di elementi di dati relativi a una singola persona:
      • Prendendo per esempio il reddito medio di una persona in un anno, si riduce il contenuto informativo relativo a quella persona.
    • Persone multiple: Aggregazione di elementi di dati relativi a una moltitudine di persone:
      • Prendere per esempio il reddito medio annuo su un gruppo di persone riduce anche il contenuto informativo complessivo (minimizzazione dei dati). Inoltre, indebolisce anche il grado di associazione tra un elemento di dati e una data persona. Questo tipo di aggregazione è quindi anche pertinente alla limitazione della conservazione (vedi sezione )

Aspetto temporale

La minimizzazione dei dati ha chiaramente anche un aspetto temporale. Soprattutto, “limitato a ciò che è necessario in relazione agli scopi” significa anche che non è più giustificato conservare i dati quando gli scopi sono già stati soddisfatti. I dati devono quindi essere cancellati non appena non sono più necessari.

In pratica, questo può essere ancora più diversificato: Delle finalità (plurale), alcune possono essere soddisfatte prima di altre. Inoltre, dopo il “trattamento principale”[2], [3]possono aver luogo “ulteriori trattamenti per scopi di archiviazione nel pubblico interesse, scopi di ricerca scientifica o storica o scopi statistici”. Per modellare questo, distinguiamo diverse fasi di trattamento. La figura seguente cerca di visualizzare questa situazione.

Figura 3: Riduzione del contenuto informativo in più fasi.

In particolare, la figura mostra un esempio con quattro fasi. Qualsiasi numero di fasi è possibile. Poiché ogni fase è associata a un sottoinsieme di scopi, alla fine di ogni fase, quando i rispettivi scopi sono stati soddisfatti, certi dati non sono più necessari. Di conseguenza, alla fine di ogni fase, certi dati possono essere cancellati (selezione), o il loro contenuto informativo può essere ridotto (riduzione della risoluzione o aumento del livello di aggregazione). È evidente che un tale approccio diversificato minimizza ulteriormente i dati, rispetto a un approccio monofase che mantiene l’intero contenuto informativo fino a quando tutti gli scopi sono stati soddisfatti.

 

 

  1. Per ulteriori informazioni sui digest crittografici, vedere per esempio, https://en.wikipedia.org/wiki/Cryptographic_hash_function (ultima visita 15/5/2020).
  2. Il termine “elaborazione principale” è usato qui per distinguere dalla “elaborazione successiva”.
  3. La formulazione è stata copiata direttamente dall’art. 5(1)(b) GDPR.

 

Skip to content