parte prima
I principi di liceità, correttezza e trasparenza del trattamento
L’art. 5 apre il Capo II del GDPR, intitolato “Principi”, disciplinando in particolare i “principi applicabili al trattamento di dati personali”.
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);II. Liceità, correttezza e trasparenza
L’art. 5, par. 1, lett. a), sancisce i principi di liceità, correttezza e trasparenza del trattamento.
Il principio di liceità
deve essere letto in correlazione con il principio di stretta legalità sancito per i diritti fondamentali, come ad esempio il diritto alla protezione dei dati personali.
Secondo questo principio, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla Carta devono essere previste dalla legge e rispettare il contenuto essenziale di tali diritti e libertà.
“Nel rispetto del principio di proporzionalità, le limitazioni possono essere applicate solo quando necessarie per proteggere i diritti e le libertà altrui o per raggiungere finalità di interesse generale riconosciute dall’Unione Europea”.
Il diritto alla protezione dei dati personali, così come ogni altro diritto o libertà fondamentale sanciti dall’ordinamento europeo, può essere compresso solo in forza di limitazioni che devono essere previste dalla legge e possono essere considerate accettabili solo se funzionali al perseguimento di uno scopo legittimo e proporzionali a tale scopo. In altre parole, la limitazione di questo diritto deve essere giustificata da una finalità legittima e non può essere sproporzionata rispetto all’obiettivo che si intende raggiungere.
Il trattamento deve, quindi:
essere conforme alla legge;
perseguire uno scopo legittimo;
essere necessario in una società democratica per perseguire uno scopo legittimo
Il principio di liceità, trova specificazione nell’art. 6 del Regolamento, il quale prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica: la necessità del trattamento, consenso dell’interessato, adempimento di obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati. (ne parleremo nelle prossime lezioni)
I casi di necessità sono individuati dallo stesso art. 6: si tratta, per es.,
del trattamento “necessario all’esecuzione di un contratto di cui l’interessato è parte”;
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
del trattamento “necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica” (come, ad esempio, le emergenze cliniche);
trattamento “necessario per adempiere un obbligo legale (regolamento o normativa comunitaria) al quale è soggetto il titolare del trattamento”,
E’ importante notare che, per poter giustificare un trattamento dei dati personali, l’interesse del titolare deve essere perseguibile solo attraverso questo trattamento e non attraverso mezzi meno invasivi, anche se il trattamento rispetta tutti i requisiti previsti dalla legge.
Si deve tenere in considerazione che il trattamento dei dati personali deve essere bilanciato con gli interessi e i diritti fondamentali dell’individuo. Solo dopo aver effettuato una valutazione comparativa tra questi fattori, sarà possibile determinare se il titolare del trattamento ha il diritto di procedere con il trattamento dei dati personali.
Il principio di correttezza
è sancito dal GDPR tra i principi di cui all’art. 5, con riferimento alle modalità con le quali i dati devono essere trattati.
In ogni caso, il principio di correttezza attiene essenzialmente al rapporto tra il titolare (e il responsabile) del trattamento e l’interessato.
La correttezza deve ispirare la condotta del titolare lungo tutto l’arco del trattamento, dalla fase della raccolta sino a quelle successive della elaborazione, archiviazione e delle operazioni connesse.
Il principio di correttezza implica che il trattamento dei dati personali deve essere chiaro e trasparente nei confronti degli interessati. Ciò significa che i dati personali devono essere trattati solo per scopi specifici, espliciti e legittimi, senza ingannare o trarre in inganno gli interessati. Ad esempio, non deve essere fornita un’informazione confusa o parziale per nascondere l’uso improprio dei dati personali.
Gli interessati devono essere informati in merito alle finalità, alle modalità e all’indirizzo del titolare del trattamento dei loro dati personali, prima che il trattamento venga avviato.
È importante che le modalità del trattamento siano esplicitate in maniera chiara e comprensibile, in modo che gli interessati possano comprendere appieno cosa accadrà ai loro dati.
Qualsiasi trattamento di dati nascosti o segreti deve essere considerato illegale.
I titolari e i responsabili devono assicurare agli interessati che i loro dati saranno trattati in modo lecito e corretto, rispettando, nella misura del possibile, le loro volontà.
Il principio di trasparenza
è volto essenzialmente a rendere l’interessato consapevole delle caratteristiche essenziali del trattamento che riguarda i propri dati, anche al fine di consentirgli, se del caso, l’esercizio del diritto di revoca sancito dall’art. 7,
Il Considerando 39
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto.
Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.
Il Considerando 39
In particolare, come precisa il Considerando 39, devono essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.
Il testo
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto.
Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.
Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.
È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.
In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali.
I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento.
Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario.
I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica.
È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati.
I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
Il principio di correttezza richiede che i dati personali siano trattati in modo leale e trasparente, e per questo motivo è complementare al principio di informazione. La corretta gestione del trattamento dei dati richiede infatti che l’interessato sia informato in modo completo sulle caratteristiche e le implicazioni del trattamento dei suoi dati.
È inoltre riconducibile a tale principio l’esigenza di sensibilizzazione delle persone in ordine “ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento”.
Il principio della trasparenza impone al titolare del trattamento di comunicare all’interessato tutti gli aspetti essenziali del trattamento dei suoi dati personali. Questo obbligo di trasparenza è finalizzato a garantire che l’interessato sia informato in modo chiaro e comprensibile su come i suoi dati personali vengono utilizzati e su quali sono i suoi diritti in merito.
Il Garante ha recentemente invocato il principio di liceità e correttezza come limite al diritto di cronaca. Questo è avvenuto in un caso in cui il marito di una donna trovata senza vita ha richiesto la rimozione di un articolo che riportava dettagli non essenziali ai fini informativi, come ad esempio gli aspetti della vita intima della vittima e il suo indirizzo di residenza. Il Garante ha considerato illegale il trattamento di tali dati, in quanto inessenziali e dannosi per il marito e soprattutto per la figlia minorenne della vittima. Di conseguenza, è stata vietata ulteriore diffusione dell’articolo (provv. n. 96/2021).
L’articolo 12, paragrafo 1, del GDPR
stabilisce le modalità con cui fornire le informazioni relative al trattamento dei dati personali.
Tali informazioni devono essere concise, trasparenti, facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro, soprattutto se rivolte a minori. Le informazioni possono essere fornite per iscritto o tramite altri mezzi, anche elettronici. In caso di richiesta dell’interessato, le informazioni possono essere fornite anche oralmente (purché l’identità dell’interessato sia comprovata) e devono essere fornite gratuitamente.
Si fa riferimento all’obbligo del titolare del trattamento di informare gli interessati sulla propria identità e sulle finalità del trattamento dei loro dati personali. Inoltre, il titolare deve fornire ulteriori informazioni per garantire un trattamento equo e trasparente dei dati personali degli interessati, in conformità ai loro diritti di ottenere conferma e comunicazione del trattamento dei loro dati personali.
Si consiglia al titolare di fornire le informazioni in modo chiaro e comprensibile, verificando regolarmente la loro adeguatezza al pubblico di riferimento attraverso sessioni documentate di test specifiche per le diverse categorie di interessati.
Il WP29 raccomanda che i titolari dei dati rendano facilmente accessibili le informazioni sulla privacy ai propri utenti. Per farlo, una best practice potrebbe essere quella di fornire un’informativa breve già nella pagina in cui si raccolgono i dati online.
il linguaggio
La comunicazione deve essere chiara e facilmente comprensibile per il pubblico di destinatari, adattandosi alla loro tipologia (ad esempio, nel caso di minori, si consiglia di utilizzare un lessico semplice e adeguato). Si raccomanda di evitare l’uso di termini tecnici o specialistici e, nel caso in cui il titolare debba fornire chiarimenti a soggetti stranieri, è necessario tradurre tempestivamente le informazioni, garantendo l’accuratezza e la coerenza della traduzione.
Il GDPR prescrive come modalità predefinita la forma scritta per comunicare le informazioni agli interessati o redigere l’informativa. È possibile combinare questa forma con icone standardizzate per fornire un quadro completo del trattamento previsto, in modo che sia facilmente visibile (cfr. art. 12, par. 7).
Il WP29 suggerisce, del resto, ai titolari di tener conto delle circostanze in cui sono stati raccolti e trattati i dati, del dispositivo utilizzato e del tipo di interazione che intercorre fra utente e titolare del trattamento e di documentare sempre le scelte effettuate.
Parimenti – aggiungono le Linee guida – il titolare dovrà tener conto delle caratteristiche dei destinatari delle informazioni che è tenuto a rendere, con particolare riguardo a soggetti vulnerabili quali, ad esempio, le persone con disabilità o con difficoltà nell’accesso alle informazioni, al fine di garantire l’effettiva possibilità di comprensione e intelligibilità dei contenuti informativi proposti.
