I dati personali possono essere raccolti ed elaborati, al ricorrere di una delle condizioni di liceità previste dall'art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento potrà essere effettuato soltanto nei limiti di quanto sia necessario per il raggiungimento di tali finalità prestabilite (art. 5, co. 1, lett. b, GDPR che parla di «limitazione della finalità»).
Il principio di necessità, in generale, insieme a quello di proporzionalità, è parte integrante della struttura del Regolamento ed accompagna qualsivoglia attività di elaborazione dei dati personali rientrante nell'applicazione del GDPR: le informazioni relative alle persone fisiche quindi non possono mai essere raccolte ed utilizzate indiscriminatamente. Ciò significa che i dati utilizzati devono essere limitati a quelli strettamente necessari rispetto allo scopo per cui gli stessi sono raccolti (scopo che deve, inoltre, essere stato precisamente comunicato prima della raccolta agli interessati).
In questo senso, il Codice della Privacy imponeva espressamente il rispetto del principio di necessità nel trattamento dei dati (art. 3 d.lgs. 196/2003), in forza del quale i dati personali dovrebbero essere trattati soltanto quando la finalità perseguita con quel preciso trattamento non possa essere raggiunta ragionevolmente con altri mezzi e soltanto nei limiti di quanto risulti indispensabile in vista di tali finalità.
Il GDPR invece non parla esplicitamente di principio di necessità, ma di minimizzazione del trattamento, che ne costituisce una sottocategoria, e secondo cui i dati personali devono sempre essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati" (art. 5, co. 1, lett. c, GDPR).
Ne consegue che, se, ad esempio, la finalità è quella di inviare una newsletter agli utenti, l'unico dato personale che il titolare avrà bisogno di acquisire sarà l'indirizzo di posta elettronica dell'interessato e tale informazione potrà essere utilizzata esclusivamente per l'invio periodico di tale comunicazione.
Ogni ulteriore dato richiesto all'interessato oppure ogni ulteriore utilizzo che verrà fatto del dato così ottenuto determinerà una violazione del principio in esame (e quindi del GDPR) perché eccedente rispetto a quanto strettamente necessario per il raggiungimento di quella finalità come predeterminata e comunicata all'interessato (vale a dire, appunto, il servizio di newsletter). Questo non significa che i titolari non possano raccogliere altri dati o elaborare quell'informazione in modo diverso. In questo caso, però, si starà perseguendo anche una finalità ulteriore e si starà effettuando un ulteriore trattamento: di conseguenza, il principio di necessità andrà rapportato a questa diversa attività e i dati minimizzati in relazione a tale trattamento ed allo scopo così perseguito.
Di fatto, i confini di ciascun trattamento vanno tracciati facendo riferimento ad una serie di elementi strettamente connessi tra loro, tra cui le finalità perseguite, la quantità e la tipologia di dati raccolti, il periodo e le modalità di conservazione degli stessi, e sostanzialmente riassunti nei principi elencati all'art. 5 del GDPR, il quale fa espresso riferimento alla necessità di limitare, sotto diversi aspetti volta per volta rilevanti, i dati trattati. Occorrerà infatti incrociare tutti questi elementi per determinare concretamente l'utilizzo dei dati personali che si andrà ad effettuare e poterlo limitare davvero a quanto strettamente necessario, volta per volta, per svolgere tali attività.
Poiché la finalità perseguita va comunicata all'interessato prima di procedere alla raccolta dei dati personali (di modo che lo stesso possa avere cognizione di quali informazioni gli sono richieste, per quale scopo e quale utilizzo ne verrà fatto, oltre a conoscere le conseguenze di un suo eventuale rifiuto), l'analisi a cui dovrà procedere ciascun titolare, prima ancora di raccogliere i dati, dovrà essere volta ad individuare con estrema precisione:
- quali sono i dati essenziali per quello specifico trattamento che si vuole effettuare;
- che quel trattamento sia effettivamente necessario per il raggiungimento di quello scopo particolare
- che quella finalità, a sua volta, non sia raggiungibile con altri mezzi, ragionevolmente applicabili nel contesto di riferimento.
Fatta questa attenta analisi, il titolare dovrà fare in modo, anche avvalendosi di apposite misure tecniche e organizzative, di ridurre al minimo il trattamento ed i dati personali.
Si intuisce quindi che non va affatto tralasciata la stretta connessione che esiste tra il rispetto di questo principio e la necessità di stabilire (e rispettare) un periodo di conservazione dei dati quanto più possibile breve, predeterminato e, comunque, anche in questo caso, non eccedente il tempo strettamente necessario per il perseguimento della finalità del trattamento effettuato. Anche questo principio è espresso chiaramente dall'art. 5, co. 1, lett. e) del GDPR (sulla «limitazione della conservazione»), in forza del quale anche l'arco di tempo in cui le informazioni possono essere conservate va sempre rapportato alle finalità specifiche del singolo trattamento. Dunque, una volta raggiunto lo scopo per cui i dati sono stati raccolti, il titolare non potrà più conservare tali informazioni.
Di conseguenza, ogni utilizzo di dati superfluo o eccedente, perché non essenziale per il perseguimento delle finalità specificatamente previste ed espressamente comunicate all'interessato o non necessario per integrare una delle condizioni di liceità del trattamento (ad esempio, per adempiere un preciso obbligo di legge) o, ancora, perché esteso a dati non rilevanti o per un periodo di tempo eccessivo, sarà quindi considerato illecito e violativo del GDPR ed esporrà il titolare alle pesanti sanzioni previste dal Regolamento.
Va da sé, infine, che si tratta di una serie di analisi da compiere contestualizzando ciascun trattamento e ciascuna finalità e che dovrà necessariamente essere sottoposta a controlli e revisioni puntuali e periodiche da parte del titolare: i presupposti di liceità e correttezza del trattamento effettuato, infatti, non sono immutabili, ma, anzi, essendo fondati su diverse elementi reciprocamente connessi tra loro, sono esposti a continue modifiche che richiedono costanti verifiche.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it