GDPR: quanti dati chiedi ai tuoi clienti?

GDPR QUANTI DATI CHIEDI AI TUOI CLIENTI AVV SILVIA DI VIRGILIO LEX AROUND ME MILANO

L’art. 5 del GDPR prevede che i dati debbano essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. 

Quindi non devono essere trattati dati non necessari rispetto alla finalità per la quale vengono raccolti e trattati. E quindi nemmeno raccolti.

Questa norma serve a evitare di usare quei dati dell’interessato che non sono assolutamente indispensabili rispetto al trattamento da effettuare. 

Rispettare questo principio è facile. Devi solo rispondere a queste semplici domande: a che cosa mi serve questo dato? Quanto mi serve? Perché mi serve?

E la risposta deve essere coerente con il trattamento che devi fare di quel dato.

Il principio della limitazione della finalità dei dati prevede che un trattamento sia legittimo in relazione, appunto, al fine del trattamento stesso.

La finalità risponde alla domanda “perché” trattare i dati. I dati devono essere raccolti per finalità determinate, esplicite e legittime. 

Quindi il titolare del trattamento prima dell’inizio del trattamento deve:

Stabilire gli scopi in base ai quali ha intenzione di raccogliere e trattare i dati personali

Questi scopi devono essere chiari e precisi.

Se ho un e-commerce lo scopo sarà finalizzare la vendita, consegnare il mio prodotto, adempiere agli obblighi fiscali.

Sono un professionista e il mio scopo sarà adempiere al mio incarico e agli obblighi fiscali.

Se voglio fare attività di marketing con delle newsletter lo scopo sarà inviare le mail.

Comunicare in maniera chiara e comprensibile agli interessati tali finalità a mezzo dell’informativa.

Informativa che deve essere portata a conoscenza dell’interessato, in modo da permettergli di fornire un consenso valido e informato. E deve essere consultabile anche ai fini di ispezione da parte delle autorità di controllo.

Trattare il dato secondo modalità compatibili con le finalità indicate. 

In assenza della precisazione della finalità il trattamento è illegittimo. 

E se le finalità cambiano?

Il trattamento è strettamente legato alla finalità iniziale. Quindi non è possibile mutare la finalità e trattare i dati per fini diversi solo perché sono stati acquisiti.

Nel caso in cui la finalità del trattamento cambi, è necessario chiedere un nuovo consenso agli interessati.

L’attuale normativa prevede la possibilità di trattare i dati già raccolti per finalità differenti purché compatibili.

Ad es.  l’art. 5, par. 1, lett. b, del GDPR prevede l’ulteriore trattamento ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. 

Inoltre, il paragrafo 4 dell’art. 6 prevede casi nei quali è possibile trattare dati per finalità differenti rispetto a quella della raccolta iniziale.

In particolare il trattamento per finalità ulteriori può essere basato: 

  • sul consenso
  • su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1 (es. sicurezza nazionali, prevenzione dei reati, difesa, sicurezza pubblica, ec…). 

Oltre queste due ipotesi è possibile trattare dati per finalità compatibili purché si tenga conto:

  1. di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto
  2. del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento
  3. della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10
  4. delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati
  5. dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione. 

In conclusione, minimizza i dati. Se te ne servono due per il trattamento che devi fare chiedi solo quelli.

Questo è molto importante anche nell’eventualità di un data breach.

Perché se subisco una violazione o una perdita di due dati o di cento dati la differenza è notevole. In termini sia di tempo che di costi necessari per gestire il mio incidente di security.

Il GDPR non è un’applicazione burocratica di una norma. Ma riguarda tutti noi da vicino.

Riguarda la sicurezza e l’etica del trattamento del dato che sarà un bene sempre più prezioso.

Soprattutto per un’azienda, un imprenditore o un professionista.

Se vuoi approfondire gli argomenti trattati in questo Post guarda anche il video “GDPR: un ristorante tratta dati personali?“.

Se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.

Per tutti gli aggiornamenti segui #LexAroundMe

Lascia qui il tuo commento al blog e ai servizi di LexAround.me

 

#GDPR: quanti dati chiedi ai tuoi clienti? #Privacy #dati #LexAroundMe Condividi il Tweet

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.