In un mondo fortemente digitalizzato e interconnesso come quello in cui viviamo, dove un’infinita quantità di dati viene scambiata ogni secondo, garantire la privacy è fondamentale. O meglio, la privacy è riconosciuta come un vero e proprio diritto fondamentale per la persona.
Ne consegue che la protezione dei dati personali sia un tema sempre più imprescindibile per le aziende, non solo come mero adempimento al Regolamento generale sulla protezione dei dati (GDPR), che ha introdotto nuove regole e obblighi per coloro che trattano dati personali, ma soprattutto per tutelare il dato in maniera concreta.
Infatti, se ci soffermiamo non tanto sui singoli adempimenti più o meno formali, ma sui principi privacy stabiliti dall’art. 5 del GDPR, vediamo come questi costituiscano degli strumenti da applicare concretamente al trattamento dei dati. Tali principi devono essere la lente privacy attraverso la quale leggere tutte le attività di trattamento dati personali.
Quali sono questi principi dell’art. 5 e concretamente come si attuano? Facciamo l’esempio di una azienda che faccia attività di marketing tramite l’invio di newsletter.
- Liceità, correttezza e trasparenza: l’azienda deve valutare attentamente le basi giuridiche per il trattamento dei dati personali e quindi, nel caso in esempio, raccogliere il consenso dei destinatari. Inoltre dovrà fornire informazioni complete e accurate sul trattamento tramite un’informativa che (principio di correttezza) dovrà essere effettivamente reperibile e leggibile, evitando ad esempio di far riferimento ad una informativa sul sito internet quando invece il consenso è raccolto su un modulo cartaceo senza alcuna informazione privacy;
- Limitazione della finalità: raccogliere i dati solo per le finalità (scopi) per le quali sono necessari, non trattandoli per altre finalità e comunicandolo all’interessato. Ad esempio, l’azienda che invia le e-mail di marketing, non può fornire ad un’azienda partner i contatti delle proprie newsletter, salvo che abbia informato gli interessati e raccolto anche questo ulteriore consenso;
- Minimizzazione: raccogliere solo i dati adeguati, pertinenti e limitati alla finalità dichiarata. L’azienda che invia e-mail di marketing avrà bisogno solo di un indirizzo di posta per effettuare tale attività. Ogni dato ulteriore potrà essere richiesto, ma dovrà essere facoltativo e non pregiudicare l’iscrizione alla newsletter. Ad esempio, si potranno richiedere informazioni per rendere più personalizzata l’e-mail, come accade su molte app di e-commerce ove, indicando particolari interessi, si riceveranno solo notifiche mirate, ma senza che il mancato inserimento di informazioni aggiuntive pregiudichi l’iscrizione;
- Esattezza: i dati devono essere mantenuti esatti e aggiornati. Nel caso della newsletter si concettizza nella possibilità di correggere/aggiornare ad esempio l’indirizzo e-mail iscritto o, nel caso visto sopra ove sia possibile indicare certi ambiti d’interesse per ricevere pubblicità mirate, modificare tali preferenze;
- Limitazione della conservazione: i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. È quindi importante stabilire e dichiarare nelle informative, delle tempistiche entro le quali cancellare i dati. I dati di contatto per iscriversi alla newsletter dovranno dunque essere conservati fino a che l’interessato rimarrà iscritto alla stessa. I dati di un soggetto disiscritto non hanno ragione di essere conservati. A cosa servirebbe all’azienda che attua l’attività di marketing il mantenere traccia di quell’indirizzo e-mail? Lo scopo sarebbe quello iniziale di inoltro di newsletter? La risposta dovrebbe essere negativa, ma se lo scopo fosse diverso si contravverrebbe dunque al principio di limitazione delle finalità;
- Integrità e riservatezza: tramite misure tecniche ed organizzative bisogna garantire un adeguata sicurezza dei dati. Ad esempio, l’azienda con la mailing-list per la newsletter non potrà permettere che tali contatti e-mail possano subire una violazione e essere illecitamente diffusi. Quelle mailing-list dovranno essere protette da misure informatiche, ma anche organizzative, vale a dire da procedure e strumenti giuridici che impediscano un trattamento illecito da parte anche di chi è legittimato ad accedere al dato.
- Responsabilizzazione: il principio di “accountability”, un principiò più ampio, qui declinato nel senso di dimostrabilità. Chi tratta i dati personali deve essere in grado di dimostrare (comprovare) di rispettare i principi sopra visti. Ad esempio, per l’iscrizione alla newsletter l’azienda conserverà l’informativa privacy e il modulo d’iscrizione con la firma dell’interessato, informativa nella quale sono indicate le finalità, modulo nel quale sono raccolti solo i dati minimi, etc…
Dunque, molto spesso la norma non indica in maniera prescrittiva il cosa fare, ma traccia la via sul come farlo, il resto spetta a chi tratta i dati!