Tesoro mi si sono minimizzati i dati

 
Fra i principi applicabili al trattamento dei dati personali, l'art. 5.1, c) GDPR individua le coordinate del c.d. principio di «minimizzazione dei dati» in forza del quale i dati personali devono essere:
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
MA...cosa significa? L'impatto della norma nei confronti dei trattamenti già in essere è rilevante? Cambia qualcosa rispetto al Codice Privacy? E soprattutto: come si minimizzano i propri dati?


Procediamo con ordine: tutto sembra ricondurre alle finalità (del trattamento) dichiarate nell'informativa come parametro valutativo.

Ciò significa dunque che la finalità deve essere quanto meno determinata ed esplicita (nonché, legittima), e correttamente individuata (e comunicata in modo chiaro e intellegibile) dal Titolare del trattamento.


La raccolta e ogni successiva operazione di trattamento dei dati (per meglio dire: delle categorie di dati) deve svolgersi in funzione del raggiungimento di un obiettivo. Il filtro valutativo per decidere quali dati trattare e in che modo trattarli giace nell'individuazione di un minimo necessario che consenta il perseguimento delle finalità. Insomma: si punta all'efficienza massima.

Cambia qualcosa rispetto al Codice Privacy?

L'art. 11 co. 1, lett. d) del Codice Privacy nel definire le modalità di trattamento e i requisiti dei dati richiede esplicitamente che gli stessi siano
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
mentre il principio di necessità di cui all'art. 3 Codice Privacy contiene una precisazione operativa per cui si pone l'accento proprio sulla scelta della modalità di realizzazione degli obiettivi:

I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.
Possiamo affermare dunque che la norma europea costituisca una precisazione e un consolidamento di quanto già era imposto per Legge.

Come controllare che i dati trattati siano (già) minimizzati? Come essere in grado di provarlo?

Si rivela un'utile risposta l'adozione di un Registro delle attività di trattamento, come raccomandato dal Garante anche per i casi in cui non sia obbligatorio. Con l'adozione di tale strumento è possibile individuare (e mappare) le categorie di dati trattati in funzione delle finalità perseguite e da cui poter eventualmente partire per ridefinire le modalità di trattamento (ad esempio adottando tecniche di anonimizzazione o pseudonimizzazione) e/o escludere categorie di dati non necessarie.


Insomma: il controllo della qualità del dato e dei trattamenti era, è e sarà fondamentale per essere...GDPReady.

Commenti