Principi applicabili al trattamento dei dati personali
Quali sono i principi applicabili al trattamento dei dati personali
Per essere compliant al GDPR devono essere rispettati i principi applicabili al trattamento dei dati personali: ciò rientra nel concetto di «accountability».
Ecco l’elenco dei principi e loro significato:
1. «liceità, correttezza e trasparenza»: questo significa che il trattamento deve essere lecito, corretto e trasparente nei confronti dell’interessato. Deve essere garantito all’interessato un monitoraggio costante e cosciente del trattamento dei dati fin dal momento della loro raccolta
2. «limitazione della finalità»: questo significa che i dati devono essere raccolti per finalità determinate, esplicite e legittime e il conseguente trattamento non deve essere incompatibile con tali finalità. La raccolta dei dati non deve essere indeterminata rispetto alle finalità del trattamento: deve essere chiaro perché i dati sono raccolti e poi trattati. La chiarezza sul trattamento è della massima importanza
3. «minimizzazione dei dati»: questo significa che la raccolta dei dati deve essere limitata soltanto a dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Questo principio richiama il requisito di «data protection by design and by default»
4. «esattezza»: questo significa che i dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. Deve essere garantita all’interessato non soltanto la sicurezza del trattamento ma che le informazioni siano corrette e, ove ragionevolmente possibile, prive di errori
5. «limitazione della conservazione»: i dati personali devono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. È un requisito molto importante e particolarmente rimarcato dal GDPR che richiede di stabilire il periodo di conservazione, anche attraverso la determinazione di criteri usati per definirlo se non è possibile prevederlo con esattezza (da indicare nelle informazioni da fornire ex artt. 13-14, GDPR e nel Registro delle attività di trattamento). Decorsi i periodi determinati o imposti da normative, i dati devono essere resi anonimi o distrutti
6. «integrità e riservatezza»: è un principio legato alla sicurezza del trattamento, poiché devono essere implementate misure tecniche e organizzative adeguate atte a garantire la sicurezza dei dati personali e la loro protezione, affinché siano mitigati trattamenti non autorizzati o illeciti, la perdita, la distruzione o il danno, anche accidentali.
In questo quadro si colloca il principio di «accountability»: il titolare deve essere responsabile dell’applicazione di questi principi e in grado di dimostrare – con documentazione scritta e aggiornata – di rispettarli.
Per approfondire, consulta le FAQ oppure contattatami.