Principi

Shape 5 Live Search

logo

Il principio di finalità stabilisce che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso.

I dati devono essere raccolti per finalità determinate, esplicite e legittime, e quindi trattati secondo modalità compatibili con tale finalità. Stabilire gli scopi del trattamento, e esplicitarli nelle comunicazioni all'interessato, aiuta a comprendere ciò che è davvero necessario e non raccogliere dati superflui. 

Il titolare del trattamento deve esplicitare e comunicare chiaramente la finalità del trattamento prima che il trattamento dei dati abbia concreto inizio, in modo da consentire all'interessato di fornire un consenso informato. La comunicazione va fatta o tramite notifica all'autorità di garanzia, nei casi previsti dalla legge, oppure a mezzo di apposita documentazione (informativa) che deve essere portata a conoscenza dell'interessato e messa a disposizione a fini di ispezione da parte delle autorità di controllo. 

In assenza della precisazione della finalità, il trattamento è illegittimo. 

 

Mutamento di finalità

Il trattamento è strettamente legato alla finalità iniziale. Nell'ambito della normativa europea, quindi, non è possibile mutare la finalità e trattare i dati per fini diversi solo perché sono già stati acquisiti. Occorre, invece, chiedere un nuovo consenso agli interessati per la nuova finalità. La Convenzione 108 prevede però la possibilità di trattare i dati per finalità "compatibili" con quelle iniziali, anche se poi non fornisce una interpretazione del concetto di "compatibilità".

La direttiva europea in materia di protezione dei dati personali stabilisce che il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, e quindi ammette il trattamento anche in caso di mutamento della finalità. Se la finalità cambia, però, occorre informare gli interessati. 

Il paragrafo 4 dell'articolo 6 del nuovo regolamento europeo (GDPR) prevede casi nei quali è possibile trattare dati per finalità differenti rispetto a quella della raccolta iniziale. Tale norma è una sostanziale novità dovuta all'ampliamento dei trattamenti, specialmente in relazione alle ipotesi di contitolarità (joint controllers). Per stabilire la compatibilità della nuova finalità occorre tenere conto, tra l'altro: 

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione. 

È comunque l'ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici.