GDPR: IL PRINCIPIO DI MINIMIZZAZIONE

Sappiamo che nel trattare i dati personali bisogna necessariamente rispettare i principi previsti dal GDPR all’art.5, e quindi i principi di liceità, correttezza e trasparenza nei confronti dell’interessato; esattezza e aggiornamento dei dati; integrità e riservatezza; minimizzazione dei dati.
Analizziamo in particolare il principio di minimizzazione dei dati.

IL PRINCIPIO DI MINIMIZZAZIONE: COS’È

Il principio di minimizzazione dei dati, dunque, fa parte di quei principi base previsti dal GDPR.

Tale principio parte dall’idea che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha concretamente bisogno per il raggiungimento delle finalità per cui è previsto il trattamento.

Facendo ancora menzione all’articolo 5 del GDPR, in dettaglio, il principio di minimizzazione è menzionato nella lettera c) del paragrafo 1 dell’articolo 5 del GDPR, che stabilisce che i dati personali trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati“.

Ciò significa che i titolari del trattamento dati, oltre a non poter raccogliere più dati di quanti ne siano effettivamente necessari, come già detto pocanzi, per la finalità del trattamento stesso, non possono mantenere questi dati raccolti più del tempo necessario per raggiungere tale scopo.

Infatti, il principio di minimizzazione è strettamente legato al principio di limitazione della conservazione, sancito nella lettera e) del paragrafo 1 dell’articolo 5, il quale stabilisce che i dati personali devono essere conservati solo per il tempo necessario al conseguimento delle finalità per cui sono stati raccolti.

In aggiunta, il principio di minimizzazione richiede che i dati siano accuratamente protetti da accessi non autorizzati o da eventuali utilizzi impropri.

Ciò implica che i dati personali vengano raccolti e trattati con estrema cautela e rispetto per la privacy delle persone.

Infine, è necessario che il trattamento dei dati personali, affinché sia lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

Qui il richiamo alle finalità della raccolta rende necessario, per il titolare del trattamento, accertare quale sia lo scopo finale stabilito per cui vengono richiesti i dati personali agli interessati.

Questo perché il consenso di questi ultimi è strettamente legato a tale unico fine, ed un utilizzo per obiettivi diversi risulterebbe eccedente e non pertinente.

Eccedente quando la raccolta dati risulta eccessiva, esagerata in termini numerici e troppo vasta rispetto all’intenzione di chi raccoglie le informazioni; pertinente quando non si collega all’obiettivo da raggiungere, e quindi non serve per la finalità prestabilita.

Di conseguenza, è chiaro come è in considerazione dello scopo che è possibile stabilire se i dati raccolti rispettino le condizioni di liceità di cui all’art. 6 del GDPR, e quindi se rispettino finalità determinate, esplicite e legittime, e se la loro raccolta sia strettamente necessaria al raggiungimento dello scopo prefissato.

IL PRINCIPIO DI MINIMIZZAZIONE: COME APPLICARLO?

Nell’attività quotidiana delle aziende e degli enti che trattano dati detto principio può tradursi in diverse operazioni.

Ciò significa che un’azienda in linea generale dovrebbe astenersi dal trattare dei dati personali senza motivi specifici.

Un primo esempio riguarda l’azienda l’invio della newsletter ai propri clienti.

L’elenco dei dati personali raccolti può essere minimizzato includendo solo l’indirizzo e-mail e il nome del destinatario, senza dover richiedere ulteriori informazioni personali come l’indirizzo di casa o il numero di telefono ecc…

Il contatto telefonico e l’indirizzo fisico, difatti, non sarebbero utili né tantomeno necessari in questo caso e quindi costituirebbero un trattamento eccedente la reale necessità.

Altro esempio può riguardare i limiti previsti anche per il trattamento dei dati dei dipendenti di un’azienda.

Questa, infatti, deve trattare solo quei dati necessari agli adempimenti contrattuali e la gestione del rapporto di lavoro; e quindi nome e cognome, data di nascita, codice fiscale, posizione lavorativa e l’orario di lavoro.

La raccolta di dati ulteriori e non necessari al raggiungimento della finalità del trattamento dati può costituire un trattamento eccedente.

IL PRINCIPIO DI MINIMIZZAZIONE: COME DEVONO COMPORTARSI I TITOLARI?

I titolari dei dati sono tenuti a rispettare il principio di minimizzazione nella gestione dei dati personali.

Ciò significa che essi devono raccogliere solo le informazioni necessarie per l’attività in questione.

E quindi, se una banca desidera aprire un conto corrente per un cliente, deve raccogliere solo le informazioni necessarie per questo scopo, come il nome, l’indirizzo e le informazioni fiscali.

Inoltre, i titolari dei dati devono assicurarsi che le informazioni raccolte siano sempre accurate e aggiornate.

È necessario quindi che siano adottare misure di sicurezza adeguate a proteggere i dati personali raccolti.

Ciò include misure come l’uso di password sicure, l’accesso limitato ai dati e la crittografia dei dati.

Infine, i titolari dei dati devono mantenere i dati solo per il tempo necessario per raggiungere l’obiettivo per il quale sono stati raccolti.

Ciò significa che i dati devono essere cancellati una volta che la loro utilità si giunta al termine e quindi non più necessaria, a meno che non sia richiesto il loro mantenimento per motivi legali.

Il principio di minimizzazione non comporta solo obblighi, ma comporta anche dei vantaggi.

Questo perché detto principio non solo garantisce il rispetto della privacy dei soggetti coinvolti, ma rappresenta anche un vantaggio tecnico e organizzativo per le aziende, poiché riduce la quantità di dati gestiti, semplificando le procedure di archiviazione e migliorando la qualità dei dati stessi.

Una minore quantità di dati da gestire riduce conseguentemente anche una diminuzione dei rischi di fuga di dati e successive violazioni della sicurezza degli stessi, migliorando così la sicurezza generale del sistema.

Come già detto il trattamento dei dati si fonda sul consenso dell’interessato, di conseguenza il titolare deve sempre essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso, che risulterà valido se: viene resa, all’interessato, la giusta e corretta informazione sul trattamento dei suoi dati ai sensi degli artt. 13 e 14 del Regolamento; è espresso liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificando ognuna di esse.

Ovviamente, come previsto dal Regolamento, il consenso può essere sempre revocabile.

Occorre, infine, verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato.

Quando il trattamento riguarda quelle categorie particolari di dati personali, ai sensi dell’articolo 9 GDPR, il consenso deve essere esplicito; lo stesso discorso avviene per il consenso a decisioni basate su trattamenti automatizzati, esempio per la profilazione.

Per il consenso non è richiesta necessariamente un documento per iscritto, né è richiesta, in linea generale, la forma scritta, ma è ovvio dire che questa sia la modalità più idonea a configurare la non equivocabilità del consenso e il suo essere esplicito.

Se per la tua attività hai necessità di conformarti a quanto prescritto dal GDPR ed hai necessità di un aiuto per farlo in modo adeguato ed evitare possibili sanzioni, contattaci subito.

Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.