I sette principi fondamentali del trattamento dei dati personali sanciti dall’articolo 5 del GDPR, costituiscono la base per ogni attività di trattamento e per la conformità normativa.
I sette principi sono interconnessi e costituiscono un framework olistico. La conformità al GDPR non può prescindere dalla loro piena integrazione in ogni processo aziendale che coinvolga dati personali, sotto il principio ombrello della responsabilizzazione.
1. Liceità, Correttezza e Trasparenza
Il trattamento deve fondarsi su una delle basi giuridiche previste dall’art. 6 GDPR (es. consenso, contratto, legittimo interesse) ed essere condotto in modo equo e trasparente nei confronti dell’interessato.
- Liceità: Richiede l’individuazione di una base giuridica specifica prima del trattamento. L’utilizzo dei dati per scopi illeciti (es. commettere un reato) ne viola il principio.
- Correttezza: Il trattamento non deve essere dannoso, inaspettato o fuorviante per l’interessato. Deve corrispondere alle sue aspettative ragionevoli. Esempi di violazione includono la profilazione non trasparente o l’uso di dati per finalità non comunicate.
- Trasparenza: Obbliga il titolare a comunicare all’interessato, in modo chiaro e accessibile, come e perché i suoi dati vengono trattati, prima della raccolta e ogni volta si verifichino cambiamenti significativi. Questo principio si attua principalmente attraverso l’informativa privacy (artt. 13 e 14 GDPR).
2. Limitazione della Finalità
I dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non possono essere successivamente trattati per scopi incompatibili con quelli originari. Un ulteriore trattamento è consentito solo se:
- La nuova finalità è compatibile con quella originale (valutando contesto, natura dei dati, conseguenze e garanzie).
- Viene ottenuto un consenso specifico per la nuova finalità.
- Esiste una base legale che lo richieda (es. interesse pubblico).
3. Minimizzazione dei Dati
I dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite. Il titolare deve:
- Raccogliere solo i dati strettamente necessari.
- Valutare periodicamente la quantità e la natura dei dati in suo possesso, cancellando o anonimizzando quelli superflui.
- Implementare misure tecniche (es. pseudonimizzazione) per ridurre al minimo i dati utilizzati.
4. Esattezza
I dati personali devono essere accurati e, se necessario, aggiornati. Il titolare deve adottare tutte le misure ragionevoli per cancellare o rettificare senza ritardo dati inesatti. L’onere di garantire l’accuratezza è proporzionale all’impatto che dati errati potrebbero avere sull’interessato (es. in contesti creditizi, sanitari o assunzionali).
5. Limitazione della Conservazione
I dati non possono essere conservati più a lungo del necessario per il conseguimento delle finalità. Il titolare deve:
- Stabilire termini precisi per la conservazione o criteri per definirli.
- Cancellare o anonimizzare i dati allo scadere di tali termini.
- Informare gli interessati sul periodo di conservazione.
Fanno eccezione i trattamenti per archiviazione nel pubblico interesse, ricerca scientifica o statistica, purché siano implementate garanzie adeguate.
6. Integrità e Riservatezza (Sicurezza)
Il titolare è tenuto a garantire una sicurezza adeguata dei dati trattati, proteggendoli da accessi non autorizzati, perdite, distruzioni o danni accidentali o illeciti. Ciò richiede l’attuazione di misure tecniche e organizzative proporzionalmente al rischio, che includono:
- Sicurezza informatica (es. cifratura, controlli di accesso).
- Sicurezza fisica (es. serrature, controlli d’accesso ai locali).
- Procedure organizzative (es. policy di sicurezza, formazione del personale, valutazioni periodiche dell’efficacia delle misure).
7. Responsabilizzazione (Accountability)
Principio cardine che impone al titolare non solo di rispettare tutti i principi sopra elencati, ma anche di dimostrare attivamente la conformità. Ciò si traduce nell’obbligo di:
- Mettere in atto politiche interne e procedure (es. registro delle attività di trattamento, Valutazioni d’Impatto – DPIA).
- Adottare approcci di Privacy by Design e by Default, integrando la protezione dei dati nella progettazione di processi e prodotti.
- Documentare le scelte e le misure adottate.
- Nominare un RPD/DPO ove richiesto e garantirne l’effettivo coinvolgimento.
- Stipulare accordi chiari con i responsabili del trattamento.
