Normativa

Shape 5 Live Search

logo

Il principio di finalità (o limitazione della finalità) dei dati prevede che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso.

I dati devono essere raccolti per finalità determinate, esplicite e legittime, e quindi trattati secondo modalità compatibili con tale finalità. Stabilire gli scopi del trattamento, e esplicitarli nelle comunicazioni all'interessato, aiuta a comprendere ciò che è davvero necessario e non raccogliere dati superflui

Il titolare del trattamento deve esplicitare e comunicare chiaramente la finalità del trattamento prima che il trattamento dei dati abbia concreto inizio, in modo da consentire all'interessato di fornire un consenso informato. La comunicazione va fatta a mezzo di apposita documentazione (informativa) che deve essere portata a conoscenza dell'interessato e messa a disposizione a fini di ispezione da parte delle autorità di controllo. 
In assenza della precisazione della finalità, il trattamento è illegittimo. 

 

Mutamento di finalità

Il trattamento è strettamente legato alla finalità iniziale. Nell'ambito della normativa europea, quindi, non è possibile mutare la finalità e trattare i dati per fini diversi solo perché sono già stati acquisiti. Occorre, invece, chiedere un nuovo consenso agli interessati per la nuova finalità o stabilire una nuova base giuridica. La Convenzione 108 prevede però la possibilità di trattare i dati per finalità "compatibili" con quelle iniziali, anche se poi non fornisce una interpretazione del concetto di "compatibilità".

Il paragrafo 4 dell'articolo 6 del regolamento europeo (GDPR) prevede casi nei quali è possibile trattare dati per finalità differenti rispetto a quella della raccolta iniziale. Tale norma è una sostanziale novità dovuta all'ampliamento dei trattamenti, specialmente in relazione alle ipotesi di contitolarità (joint controllers). Per stabilire la compatibilità della nuova finalità occorre tenere conto, tra l'altro: 

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione. 

In ogni caso è possibile l'ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici (art. 5). Tale tipo di trattamento comunque deve essere realizzato in base ad apposite garanzie, come previste dall'art. 89 del GDPR, al fine di tutelare i diritti degli interessati. Le garanzie, ovviamente, sono date dalle misure di sicurezza (tra le quali si può includere la pseudonimizzazione), e il rispetto della minimizzazione dei dati.