top of page
Cerca

I principi fondamentali del GDPR

Immagine del redattore: Redazione LexTech HubRedazione LexTech Hub

Aggiornamento: 5 feb



Dal 25 Maggio 2018, tutte le aziende, sia pubbliche che private, che trattano dati personali raccolti dai cittadini europei, devono adeguarsi ai principi stabiliti dall'articolo 5 del Regolamento 679/2016, meglio conosciuto come GDPR. Questi principi delineano gli obblighi che le organizzazioni devono seguire durante la raccolta, l'elaborazione e la conservazione dei dati personali di un interessato.
In questa sede saranno analizzati i principi fondamentali del GDPR, disciplinati all’art. 5 par.1 per comprendere appieno il loro livello di importanza e come conformarsi a essi.

Liceità, correttezza e trasparenza: par. 1, lett. a 
Tale principio è forse il più importante e sottolinea la totale trasparenza per tutti i titolari dei trattamenti dei dati personali. Quando i dati vengono raccolti, le organizzazioni devono essere chiare sul motivo per cui vengono raccolti e su come verranno utilizzati. Se una persona interessata richiede ulteriori informazioni sul trattamento dei suoi dati, le organizzazioni hanno l'obbligo di fornirle in modo tempestivo. La raccolta, l'elaborazione e la divulgazione dei dati devono essere effettuate in conformità con la legge.

La correttezza e trasparenza si esplica sotto 2 profili:
  • fornire agli interessati tutte le informazioni, sulle caratteristiche del trattamento necessarie perché essi possano avere una ragionevole cognizione dell’utilizzo dei loro dati;
  • questa informativa deve essere espressa in modo chiaro facilmente comprensibile.

Quanto alla liceità: significa che il trattamento dati – inteso come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali - deve fondarsi su una delle basi giuridiche previste dal GDPR, come il consenso dell'interessato, l'esecuzione di un contratto, l'adempimento di un obbligo legale, la salvaguardia di interessi vitali,  l’esecuzione di un compito di interesse pubblico e   il perseguimento del legittimo interesse del titolare del trattamento o terzi. (art. 6 par. 1 GDPR).

Tuttavia, ci sono alcune situazioni in cui possono emergere gravi rischi. In questi casi, il trattamento può basarsi solo su un consenso esplicito:
  • art. 9, trattamento di categorie particolari di dati (opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, dati relativi alla salute, ecc);
  • art 49, per il trasferimento di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate garanzie;
  • art. 22, per i processi decisionali automatizzati relativi alle persone fisiche, compresa la profilazione.

In questa sede si rende necessario un breve approfondimento sul consenso, vista la sua generale applicazione.

Il consenso dell’interessato: la definizione di consenso viene fornita all’art 4 par.11 del GDPR prevede che esso sia: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Inoltre, è fondamentale sottolineare che l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento (art. 7, par. 3), e tale revoca deve essere tanto semplice quanto la procedura utilizzata per prestarlo, indipendentemente dalle modalità scelte. La revoca può riguardare una o più finalità specifiche per le quali il consenso è stato inizialmente fornito, secondo la preferenza dell'interessato. Per garantire una corretta gestione di questo diritto, insieme all’obbligo di documentare sia il consenso che la sua eventuale revoca, il titolare del trattamento è tenuto a implementare procedure che assicurino l'accesso a informazioni sempre aggiornate sullo stato di ogni consenso ricevuto. Ciò include, ad esempio, la registrazione delle date in cui il consenso è stato concesso e quello in cui è stato eventualmente revocato.

Limitazione dello Scopo: par. 1, lett. b
Il trattamento dei dati da parte dell’organizzazione deve essere limitato a scopi specifici, espliciti e legittimi. I dati non possono essere ulteriormente trattati in modo incompatibile con tali scopi. Questo principio implica che i dati non devono essere utilizzati per finalità diverse da quelle per cui sono stati raccolti inizialmente, a meno che il soggetto non fornisca il suo consenso.

Minimizzazione dei dati: par. 1, lett. c
Il principio di minimizzazione stabilisce che i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi per i quali sono trattati. Questo principio implica che non devono essere raccolti più dati di quelli strettamente necessari. Pertanto, non si possono raccogliere dati personali solo nella remota possibilità che possano essere utili in futuro.

Esattezza dei dati: par. 1, lett. d 
L'integrità dei dati implica che i dati personali trattati siano accurati, aggiornati e completi. È importante che vengano adottate misure adeguate a garantire la sicurezza dei dati e prevenirne la perdita, la modifica non autorizzata o l'accesso. L'integrità dei dati, dunque, è un principio che tutela non solo la qualità dei dati, ma anche la sicurezza degli stessi, riducendo i rischi per i soggetti interessati. In caso di inesattezza gli individui hanno il diritto di richiedere che i dati inaccurati o incompleti siano cancellati o rettificati entro 30 giorni. Questo principio è essenziale a garantire che il trattamento dei dati personali avvenga in modo sicuro, corretto e rispettoso dei diritti degli interessati. Il trattamento di un dato sbagliato – inesatto – può avere spesso conseguenze negative e gravi per i diritti e le libertà delle persone fisiche. Qualche esempio? Il trattamento di un dato sbagliato potrebbe esser causa di un finanziamento negato. In più tale «errore» potrebbe anche esser causa di sostanziosi risarcimenti. Infatti, il diritto disciplinato all’art 82 permette all’interessato di ottenere il risarcimento del danno dal titolare o responsabile del trattamento.

Conservazione dei dati: par. 1, lett. e 
Il principio di conservazione stabilisce che i dati personali devono essere conservati solo per il tempo strettamente necessario a soddisfare gli scopi per i quali sono stati raccolti. Il tempo di conservazione di un dato, la cui formalizzazione è presente sia nei documenti come l’informativa da rilasciare all’interessato oppure nei registri delle attività di trattamento, in genere è legato alle finalità del trattamento.
Si ricorda che non tutti i dati presenti nell’organizzazione sono soggetti al GDPR, ma unicamente quelli che riguardano le persone fisiche in qualità di interessati. Alcuni termini di conservazione sono determinati da obblighi normativi o contrattuali, mentre altri sono autodeterminati dal titolare come, ad esempio, quelli per le attività di marketing. Portiamo alcuni esempi di macroaree in cui la conservazione dei dati è vincolata da normative:
  • la gestione del rapporto di lavoro;
  • la videosorveglianza;
  • i log di accesso ai dati bancari;
  • i log degli amministratori di sistema

All’interno di queste finalità si evidenzia come possono esistere delle differenze circa i tempi di conservazione per i vari documenti. Ad esempio, nell’ambito della gestione del rapporto di lavoro possono differenziarsi i tempi di conservazione di:
  • contratti di lavoro
  • buste paghe;
  • registro infortuni;
  • dati relativi ad adempimenti contributivi.

Nel caso in cui la legge non preveda tempi di conservazione, questi devono essere determinati in modo ragionevole e responsabile dal titolare. Un consiglio per tutti i titolari del trattamento è di verificare se il Garante si sia già espresso su tipologie analoghe di trattamento. È comunque indispensabile che il titolare sia in grado di dimostrare sia la procedura seguita per la determinazione dei tempi di conservazione, sia la conformità ai sensi dell'art. 25 par. 2. Una volta raggiunti lo scopo del trattamento o il termine previsto dalla legge, i dati devono essere cancellati o resi anonimi. Questo principio evita la conservazione indefinita di dati e riduce il rischio di abusi.

Cosa succede in caso di variazione delle finalità del trattamento?
Quando il titolare del trattamento determina una finalità ulteriore per il trattamento di un dato, i tempi di conservazione delle finalità originali vengono superati e viene stabilito un nuovo e distinto periodo di conservazione. In tal caso, in virtù del principio di trasparenza, la nuova finalità deve essere comunicata all’interessato prima di iniziare il trattamento, ovvero doveva essere già prevista nell'informativa, oppure sarà necessario fornire una nuova informativa all’interessato.

Integrità e riservatezza: par 1, lett. f
Questo principio riguarda la sicurezza: «i dati personali sono trattati in modo da garantire un'adeguata sicurezza dei dati personali». Ogni organizzazione deve assicurarsi che tutte le misure appropriate siano messe in atto per proteggere i dati personali in proprio possesso. Questo può includere la protezione da minacce interne come l'uso non autorizzato, la perdita accidentale o il danneggiamento, così come da minacce esterne come il phishing, il malware o il furto. Una scarsa sicurezza delle informazioni potrebbe compromettere i sistemi e servizi, causando disagi agli individui. Non esiste un approccio unico, ma il GDPR stabilisce che le organizzazioni devono adottare livelli adeguati di sicurezza per affrontare i rischi legati al loro trattamento.
L’art. 5, par. f, tutela i dati personali. Tuttavia, la sicurezza è un aspetto fondamentale del GDPR. Altre norme essenziali su questo tema sono gli artt. 32 - 25, che tutelano i diritti e le libertà delle persone fisiche.

 

Conclusione
Il Regolamento generale sulla protezione dei dati rappresenta un punto di svolta per la gestione dei dati personali, ponendo al centro i diritti degli interessati e la responsabilità dei titolari del trattamento. I principi fondamentali delineati dall’art. 5 del GDPR non sono solo obblighi normativi, ma anche linee guida che promuovono trasparenza, sicurezza e fiducia. Conformarsi al GDPR non significa solo evitare sanzioni, ma anche garantire una gestione etica e responsabile dei dati, elemento ormai imprescindibile per mantenere la fiducia degli utenti e proteggere il proprio business in un’era sempre più digitale. Ogni organizzazione, grande o piccola, ha l’opportunità di fare del rispetto dei dati personali un vantaggio competitivo, investendo in processi e strumenti che assicurino la conformità e tutelino i diritti delle persone fisiche. Adottare questi principi con consapevolezza e responsabilità significa non solo rispettare la legge, ma anche contribuire a un ecosistema digitale più sicuro e sostenibile per tutti.

Se siete interessati ad approfondire le tematiche relative al trattamento dei dati iscrivetevi al #DPF2025 - 06 giugno 2025 - Auditorium Appiani di Treviso! I posti sono limitati!




22 visualizzazioni0 commenti

Post recenti

Mostra tutti

Comments


bottom of page