Il principio della minimizzazione dei dati personali
adv

Il titolare del trattamento deve utilizzare i dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti, c.d. principio della minimizzazione dei dati personali.

Dal combinato disposto degli artt. 5 e 6 del GDPR, i quali determinano le condizioni di liceità e le finalità della raccolta dati, si ricavano i principi generali che il titolare del trattamento deve seguire nelle raccolta dei dati personali degli utenti. In particolar modo, il Regolamento europeo sancisce la necessità che i dati personali vengano raccolti per finalità determinate, esplicite e lecite nei limiti di quanto necessario per il raggiungimento dello scopo per i quali sono stati raccolti. L’unione di questi due principi determina la nascita del c.d. principio di minimizzazione del trattamento.

Il suddetto principio deve essere considerato il cardine della normativa europea, per cui, giammai può subire ingiustificate limitazioni. Ne deriva pertanto, che il titolare del trattamento nella raccolta delle informazioni è sottoposto al rispetto di innumerevoli obblighi: in primis deve comunicare all’utilizzatore del servizio lo scopo per i quali i suoi dati personali vengono raccolti, questa operazione è indispensabile, in quanto solo considerando lo scopo si può effettivamente stabilire se i dati raccolti rispettano le condizioni di liceità di cui all’art. 6 del GDPR (cioè se rispettino finalità determinate, esplicite e legittime) e se la loro raccolta sia strettamente necessaria a raggiungimento dello scopo prefissato.

Quindi, ad esempio nel caso di un titolare di trattamento il cui scopo è quello di inviare ai propri utenti una newsletter, l’unico dato personale necessario sarà l’indirizzo e-mail a cui inviarla, inoltre tale informazione potrà essere utilizzata solo e soltanto per lo scopo predetto. Pertanto, ogni ulteriore utilizzo di questi dati, da parte del titolare del trattamento costituirà una violazione del principio di minimizzazione così come previsto dal GDPR.

Inoltre, per stabilire concretamente quali siano i limiti da rispettare nell’acquisizione dei dati per un determinato trattamento il titolare deve fare riferimento agli elementi elencati nell’articolo 5 GDPR, in particolare le finalità perseguite, la quantità e la tipologia di dati raccolti, il periodo e le modalità di conservazione degli stessi.

Ne deriva, che già prima dell’acquisizione dei dati il titolare dovrà stabilire quali siano quelli essenziali per il trattamento che si vuole effettuare, dovrà determinare se quel determinato trattamento sia effettivamente necessario al raggiungimento dello scopo prefissato ed infine dovrà anche verificare che la finalità prefissata, di volta in volta, non sia raggiungibile con altri mezzi.

Un altro aspetto importante, del principio di minimizzazione del trattamento dati, riguarda il periodo di tempo in cui le informazioni restano a disposizione del titolare del trattamento. L’articolo 5, comma 1, lett. e, sancisce il principio della limitazione della conservazione secondo cui, l’arco temporale in cui le informazioni possono essere conservate dal titolare del trattamento deve anch’esso essere rapportato alle finalità specifiche per le quali sono state raccolte.

Quindi, la conservazione per un periodo di tempo troppo lungo dei dati costituirà anch’essa una diretta violazione del Regolamento europeo. Per evitare di incorrere nelle severe sanzioni, previste dal GDPR, è opportuno che il titolare del trattamento, che non abbia ancora provveduto, si avvalga di apposite misure tecniche e organizzative in grado di ridurre al minimo il trattamento dei dati personali.

Questa tutela così stringente, da parte del regolamento europeo, deriva dal contesto storico in cui viviamo. Le informazioni personali che ogni giorno condividiamo sul web rappresentano un vero e proprio affare per le società, per cui il legislatore europeo ha ritenuto necessario garantire maggiore tutela agli utenti.

Il diritto alla minimizzazione dei dati, comunque, non era un concetto del tutto sconosciuto nel sistema italiano, infatti, il nostro codice della privacy (art. 3 d. lgl. 196/2003)  prevedeva già il c.d. principio di necessità del trattamento dei dati  secondo cui il titolare dovrebbe acquisire i dati personali dell’utente solo nell’ipotesi in cui, utilizzando altri mezzi (ad es. dati anonimi), non sia possibile raggiungere le finalità prefissate.

Sul punto si è espresso anche il Garante italiano della privacy con il provvedimento n. 324 del 20 luglio 2017, doc. web. n. 6955363.

L’Authority ha ritenuto opportuno sanzionare, per violazione dei principi di minimizzazione dei dati personali e di necessità, un sito di e-commerce che subordinava la navigazione sulla propria piattaforma on-line al completamento di una procedura di registrazione nella quale l’utente era tenuto a comunicare non solo il proprio indirizzo e-mail ma anche ad accettare “i termini e le condizioni del servizio”.

Secondo il Garante della privacy, la richiesta di registrazione non può ritenersi necessaria ai fini della sola navigazione  nel sito web al fine di visualizzare delle proposte commerciali ivi contenute. Il Garante della privacy ha ritenuto l’acquisizione di questi dati come un’operazione di marketing scorretta,in violazione degli artt. 3 e 11 del Codice della privacy, tant’è che con il provvedimento suindicato ha vietato alla società tale pratica.

Ad ogni buon conto, è ormai evidente la sempre maggiore attenzione rivolta alla tutela della privacy, pertanto tutti i titolari di trattamento dovranno tenere sempre presente nelle loro scelte aziendali delle eventuali implicazioni sulla stessa.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.