Il principio di finalità (o limitazione della finalità) dei dati prevede che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso.
La finalità risponde alla domanda “perché” trattare i dati. I dati vanno raccolti per finalità determinate, esplicite e legittime. Infatti,il titolare del trattamento deve stabilire prima dell’inizio del trattamento gli scopi in base ai quali ha intenzione di raccogliere e trattare i dati personali. Inoltre, il tutto deve essere comunicato in maniera chiara e comprensibile dell’interessato. In assenza della precisazione della finalità, il trattamento è illegittimo.
Il principio di finalità è strettamente legato a quello di proporzionalità (principio generale del diritto dell’Unione). Esso è rispettato solo se il trattamento è proporzionato alla finalità stabilita, quindi non eccedenti rispetto ai mezzi e le modalità.
Infine, i dati devono essere trattati secondo modalità compatibili con le finalità indicate. Stabilire gli scopi del trattamento, e esplicitarli nelle comunicazioni all’interessato, aiuta a comprendere ciò che è davvero necessario e quindi a non raccogliere dati superflui.
MUTAMENTO DI FINALITA’
Il trattamento è strettamente legato alla finalità iniziale. Nell’ambito della normativa europea, quindi, non è possibile mutare la finalità e trattare i dati per fini diversi solo perché sono già stati acquisiti. Bisogna, invece, chiedere un nuovo consenso agli interessati per la nuova finalità o stabilire una nuova base giuridica. L’attuale normativa prevede, però, la possibilità di trattare i dati per finalità differenti purché compatibili. La Convenzione 108 prevede la possibilità di trattare i dati per finalità “compatibili” con quelle iniziali, anche se poi non fornisce una interpretazione del concetto di “compatibilità”.
Ad esempio, l’art. 5 del GDPR prevede l’ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. Tale tipo di trattamento comunque deve essere realizzato in base ad apposite garanzie. Esse, ovviamente, sono date dalle misure di sicurezza (tra le quali si può includere la pseudonimizzazione), e il rispetto della minimizzazione dei dati.
Inoltre, il paragrafo 4 dell’articolo 6 del regolamento europeo (GDPR) prevede casi nei quali è possibile trattare dati per finalità differenti rispetto a quella della raccolta iniziale. Tale norma è una novità dovuta all’ampliamento dei trattamenti, specialmente in relazione alle ipotesi di contitolarità. Il trattamento per finalità ulteriori può essere basato:
– sul consenso;
– su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1
COMPATIBILITA’ DELLA NUOVA FINALITA’
Oltre a ciò è possibile trattare dati per finalità compatibili, laddove per stabilire la compatibilità della nuova finalità occorre tenere conto, tra l’altro:
- di ogni nesso tra le finalità per cui i dati personali sono raccolti e le finalità dell’ulteriore trattamento previsto;
- del contesto in cui i dati personali sono raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
- della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
- delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
- dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
TI É PIACIUTA QUESTA NEWS?
ISCRIVITI ALLA NOSTRA NEWSLETTER E RESTA SEMPRE AGGIORNATO