Articolo 5 GDPR
Principi applicabili al trattamento di dati personali
- I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che
non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). - Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Spiegazione
L’articolo 5 GDPR detta i principi che devono essere applicati ad ogni attività di trattamento dei dati personali. Sono quindi un ottimo strumento eremeneutico nella risoluzione di casi concreti. Vediamoli insieme uno ad uno.
- liceità, correttezza e trasparenza
Liceità. Prescrivendo questo requisito, il GDPR esige che ogni trattamento dei dati personali di un interessato trovi fondamento su un’idonea base giuridica. Le basi giuridiche di cui parliamo sono citate nell’art. 6, e sono: il consenso dell’interessato; l’adempimento di obblighi contrattuali; l’esistenza di obblighi di legge cui è soggetto il titolare; la necessità di salvaguardare interessi vitali della persona interessata o di terzi; la necessità del titolare di eseguire un compito di interesse pubblico o di esercitare poteri pubblici; la sussistenza di un interesse legittimo prevalente del titolare o di terzi. In parole povere, il trattamento è lecito solo se è conforme alla legge e persegue uno scopo legittimo o è strettamente necessario, in una società democratica, per perseguire uno scopo legittimo.
Correttezza. Il requisito della correttezza inerisce al rapporto tra il titolare del trattamento e l’interessato. Un trattamento è corretto: se è conforme alle norme etiche e deontologiche vigenti; se lo scopo del trattamento è determinato, esplicito e legittimo; se sono considerabili corrette le modalità di raccolta dei dati e l’utilizzo dei dati. Inevitabile è lo stretto collegamento tra la correttezza e la trasparenza.
Trasparenza. Gli interessati hanno il diritto di essere mantenuti informati sul modo in cui vengono utilizzati i solo dati, di sapere di quali diritti godono. Tale principio impone al titolare di agevolare gli interessati nell’esercizio dei loro diritti
b) limitazione delle finalità.
Con la previsione di cui alla lettera b) del comma 1, il Legislatore europeo ha definitivamente sancito l’illiceità dei trattamenti per finalità indefinite o illimitate. In altre parole, la legittimità del trattamento dei dati personali dipende dalla finalità del trattamento, di tipo specifico e resa manifesta dal titolare del trattamento. Il trattamento di dati per finalità diverse necessita di una nuova base giuridica.
c) minimizzazione dei dati personali
In virtù del principio di minimizzazione, le categorie dei dati scelti per il trattamento devono essere effettivamente necessarie al fine di raggiungere la finalità delle operazioni di trattamento dichiarata. Dunque, il titolare dovrebbe limitarsi a raccogliere dati pertinenti alle finalità specifiche perseguite. Ne deriva una duplice interpretazione del principio di minimizzazione: quantità minima di dati personali e portata minima del trattamento dei dati personali.
d) esattezza
Alla lettera d) leggiamo che i dati devono essere esatti e, se necessario, aggiornati. Questa previsione implica che sussiste in capo al titolare del trattamento un obbligo di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alla finalità per la quale sono trattati.
e) conservazione
In virtù di questo principio, i dati devono essere conservati in una forma tale da consentire l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. In deroga a ciò, è consentito conservare i dati per un arco di tempo più lungo nei casi in cui siano perseguiti fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini storici
f) integrità e riservatezza
Non solo il titolare deve trattare i dati in modo tale da garantirne l’esattezza ma anche in circostanze tali da offrire un adeguato livello di sicurezza. Un buon livello di sicurezza si persegue quando sia valutato adeguato rispetto al rischio che incombe (distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale o illegale ai dati). Il Legislatore non si è preoccupato di fornire un elenco esaustivo di misure tecniche che possono agevolare il titolare ad adeguarsi agli standard di sicurezza. Tuttavia, dalla lettura del testo possiamo ricavarne alcune: misure per la pseudonimizzazione e di cifratura dei dati; misure che consentono di assicurare la riservatezza, integrità, disponibilità e resilienza dei servizi e dei sistemi di trattamento; misure idonee a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente.
Comma 2) responsabilizzazione o accountability
Il principio appena citato comporta l’obbligo per il titolare di: mettere in atto misure per garantire che la normativa in materia di protezione dei dati personali sia rispettata nel contesto dell’attività di trattamento; disporre di documentazione atta a dimostrare agli interessati e alle autorità di controllo le misure adottate per conseguire il rispetto delle norme in materia di protezione dei dati e l’efficacia delle stesse.
Rimani aggiornato, segui la nostra pagina Facebook!
Pagina creata da FreeAttitude.net