Il GDPR contiene principi sulla protezione dei dati che reggono il sistema della tutela dei dati. Quali sono?

 

Breve introduzione al GDPR

Per comprendere appieno i principi contenuti nel GDPR è bene fare una breve introduzione sul Regolamento Europeo che ha profondamente modificato la disciplina riguardante la privacy.

Il GDPR è un regolamento europeo contenente disposizioni in tema privacy[1]. Il GDPR contiene norme relative alla protezione delle persone fisiche quando i loro dati personali sono trattati e norme sulla libera circolazione dei dati personali. L’articolo 1, paragrafo 2, del GDPR prevede che il GDPR mira a proteggere i diritti e le libertà fondamentali delle persone fisiche e, più specificamente, il loro diritto alla protezione dei dati personali (right to the protection of personal data).

 

Quali sono i principi di protezione dati nel GDPR?

I principi che riporto di seguito sono presenti nel GDPR. Per comodità però ho preferito disporli con un elenco numerato.

  1. Il primo principio riguarda la liceità, correttezza e trasparenza (lawfulness, fairness and transparency) dei dati. Richiede che i dati personali siano trattati in modo lecito, equo e trasparente nei confronti degli interessati. La trasparenza implica che qualsiasi informazione e comunicazione relativa al trattamento dei dati personali deve essere facilmente accessibile e di facile comprensione. Inoltre, a questo proposito, è necessario utilizzare un linguaggio chiaro e semplice. In particolare, tale principio garantisce che l’interessato riceva informazioni sull’identità dei responsabili e sulle finalità del trattamento dei dati personali.
  2. Il secondo principio è quello della limitazione delle finalità (purpose limitation) dei dati. Significa che i dati personali devono essere raccolti solo per finalità determinate, esplicite e legittime e non è consentito trattarli ulteriormente in modo non compatibile con tali finalità. Si tenga presente, tuttavia, che ulteriori trattamenti per finalità di interesse pubblico, di ricerca scientifica o storica o a fini statistici non sono considerati incompatibili con le finalità iniziali e sono pertanto consentiti.
  3. Come terzo principio, dobbiamo fare riferimento alla minimizzazione dei dati (data minimisation). Secondo tale principio, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. In sostanza, significa che i dati non possono essere trattati a meno che il trattamento non sia necessario per il raggiungimento delle finalità sopra indicate.
  4. L’accuratezza (accuracy) è il quarto principio, il che significa che è necessario garantire che i dati personali siano accurati e siano aggiornati ove necessario. I dati personali inesatti – tenuto conto delle finalità del loro trattamento – devono essere cancellati o rettificati senza alcun ritardo.
  5. Il quinto principio è la limitazione dello spazio di archiviazione (storage limitation). Implica che i dati personali devono essere conservati in una forma che permetta di identificare gli interessati per un periodo non superiore a quello necessario alle finalità del trattamento. La conservazione di tali dati per periodi più lunghi è consentita quando il trattamento dei dati è finalizzato al raggiungimento di finalità di interesse pubblico, di ricerca scientifica o storica o a fini statistici. Tuttavia, anche in questi casi devono essere sempre tutelati i diritti e le libertà degli interessati.
  6. Il sesto principio riguarda l’integrità e la riservatezza (integrity and confidentiality). Si richiede cioè che nel trattamento dei dati personali sia assicurata un’adeguata sicurezza dei dati. Ciò dovrebbe includere la protezione contro il trattamento, la distruzione e il danno non autorizzati o illeciti. Devono essere adottate misure tecniche o organizzative adeguate per soddisfare questo requisito: tali misure di sicurezza dei dati possono includere l’uso di crittografia e meccanismi di autenticazione e autorizzazione.
  7. Oltre ai sei principi di protezione dei dati, il GDPR introduce nell’articolo 5, paragrafo 2, del GDPR il principio di responsabilità (principle of accountability), senza il quale non possono essere attuati. In base a tale principio, il titolare del trattamento è responsabile del rispetto dei principi elencati nell’articolo 5, paragrafo 1, GDPR e sopra richiamati e può dimostrare la propria conformità agli stessi. Questo ed altri compiti dei controllori verranno discussi in maggior dettaglio più avanti nel corso.

 

Una considerazione finale

Come comprensibile, i principi del GDPR sono di estrema rilevanza considerando quanto le attività di ogni persona fisica siano tracciabili e tracciate. Prestare il consenso, informarsi su come tutelare i dati personali, richiedere una cancellazione dei dati sono nuove interazioni che riguardano tanto la tecnologia quanto il diritto: è bene non dimenticare e dare per scontato delle tutele di cui si dispone.

Informazioni

General Data Protection Regulation – reperibile nella rete interconnessa

[1] Del GDPR se ne parla ormai da tempo: entra in vigore il 24 maggio 2016 ma diventa vincolante e direttamente applicabile in tutti gli Stati Membri dell’Unione Europea il 25 maggio 2018. Per un approfondimento sull’argomento: https://www.dirittoconsenso.it/2021/11/26/il-gdpr/