Il principio di finalità (o limitazione della finalità) dei dati prevede che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso.
La finalità risponde alla domanda "perché" trattare i dati. I dati devono essere raccolti per finalità determinate, esplicite e legittime. Cioè il titolare del trattamento deve:
- stabilire prima dell'inizio del trattamento gli scopi (che non devono essere generici o indefinitii o illimitati) in base ai quali ha intenzione di raccogliere e trattare i dati personali;
- comunicare in maniera chiara e comprensibile (principio di trasparenza) agli interessati tali finalità a mezzo dell'apposita documentazione (informativa) che deve essere portata a conoscenza dell'interessato, in modo da permettere all'interessato di fornire un consenso informato, e messa a disposizione a fini di ispezione da parte delle autorità di controllo.
In assenza della precisazione della finalità, il trattamento è illegittimo.
L'importanza della finalità si evince dal fatto che da un lato contribuisce a configurare il trattamento, dall'altro risulta fondamentale per stabilire l'entità e la tipologia dei dati da raccogliere e trattare. Cioè i dati devono essere trattati secondo modalità compatibili con le finalità indicate. Stabilire gli scopi del trattamento, e esplicitarli nelle comunicazioni all'interessato, aiuta a comprendere ciò che è davvero necessario e quindi a non raccogliere dati superflui.
Il principio di finalità è strettamente legato a quello di proporzionalità, principio generale del diritto dell’Unione (art. 5(4) del TUE che prevede che “il contenuto e la forma dell’azione dell’Unione si limitano a quanto necessario per il conseguimento degli obiettivi dei trattati”), in quanto esso è rispettato solo se il trattamento è proporzionato alla finalità stabilita, quindi non eccedente rispetto ai mezzi e le modalità (da cui il principio di minimizzazione e di limitazione della conservazione).
Mutamento di finalità
Il trattamento è strettamente legato alla finalità iniziale. Nell'ambito della normativa europea, quindi, non è possibile mutare la finalità e trattare i dati per fini diversi solo perché sono già stati acquisiti. Occorre, invece, chiedere un nuovo consenso agli interessati per la nuova finalità o stabilire una nuova base giuridica. L'attuale normativa prevede, però, la possibilità di trattare i dati per finalità differenti purché compatibili. Anche la Convenzione 108 prevede la possibilità di trattare i dati per finalità "compatibili" con quelle iniziali, anche se poi non fornisce un'interpretazione del concetto di "compatibilità".
Ad esempio, l'art. 5, par. 1, lett. b, del GDPR prevede l'ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. Tale tipo di trattamento comunque deve essere realizzato in base ad apposite garanzie, come previste dall'art. 89 del GDPR, al fine di tutelare i diritti degli interessati. Le garanzie, ovviamente, sono date dalle misure di sicurezza (tra le quali si può includere la pseudonimizzazione), e il rispetto della minimizzazione dei dati.
Il novellato Codice Privacy (art. 110-bis) stabilisce che l'Autorità di controllo può autorizzare il trattamento ulteriore dei dati per fini di ricerca scientifica o per finalità statistiche da parte di soggetti che svolgano principalmente tali attività, qualora l'informazione agli interessati risultasse impossibile o implicasse uno sforzo sproporzionato, però a condizione che vengano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, ivi incluse forme preventive di minimizzazione e di anonimizzazione dei dati.
Inoltre, il paragrafo 4 dell'articolo 6 del regolamento europeo (GDPR) prevede casi nei quali è possibile trattare dati per finalità differenti rispetto a quella della raccolta iniziale. Tale norma è una sostanziale novità dovuta all'ampliamento dei trattamenti, specialmente in relazione alle ipotesi di contitolarità (joint controllers).In particolare il trattamento per finalità ulteriori può essere basato:
- sul consenso;
- su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1 (es. sicurezza nazionali, prevenzione dei reati, difesa, sicurezza pubblica, ec...).
Al di là di tali due ipotesi, è possibile trattare dati per finalità compatibili, laddove per stabilire la compatibilità della nuova finalità occorre tenere conto, tra l'altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.