Un tema che mi trovo spesso ad affrontare, come consulente privacy, è l’incertezza del titolare rispetto ai dati trattati ed alle loro finalità. Le organizzazioni spesso non conoscono i dati che raccolgono, e non conoscono le finalità per le quali li trattano. Quando questo dipende da disorganizzazione o assenza di coordinamento, la raccomandazione è sempre quella di definire una regia unitaria, più vicina possibile al vertice aziendale, per evitare il pericoloso effetto della “perdita di controllo”.

 

Talvolta, invece, l’apparente confusione risponde ad una logica di massimizzazione. Le organizzazioni raccolgono una grande quantità di dati, spesso superflui rispetto alle loro effettive necessità, ma in vista di possibili utilizzi futuri. In pratica, cercano di mettere in granaio più dati possibili, in vista di applicazioni ancora da definire. Per essere chiari, questo approccio ai dati personali è contrario alle norme vigenti, ed in particolare al principio della minimizzazione, che costituisce uno dei cardini del regolamento GDPR. 

 

Una buona organizzazione della data governance, coerente con la norma, prevede una piena consapevolezza del titolare su: quantità e qualità di dati raccolti, loro finalità, loro flusso gestionale; il tutto in piena coerenza con i principi di liceità (ovviamente) e minimizzazione. Per ogni dato trattato da un’organizzazione, è indispensabile essere in grado, in qualsiasi momento, di giustificare le ragioni per cui è stato raccolto, in applicazione delle finalità definite (e comunicate) ed in coerenza con le stesse. Non solo, ma ogni trattamento di dati deve necessariamente essere ricollegato ad almeno una “base giuridica” compresa tra quelle elencate agli artt. 6, 9 e 10 del GDPR.  E attenzione; è doveroso precisare che anche conservare un dato in casa senza farne nulla è una forma di trattamento assoggettata ai medesimi principi. In altri termini, raccogliere dati per finalità non definite, o anche soltanto per finalità previste ma non concretamente attuate, è eccessivo e pertanto illegittimo. 

Il legislatore sembra dirci che soltanto un’attenta pianificazione ed una coerente attuazione salvano le organizzazioni dal rischio legale. 

 

Questa impostazione, però, si scontra spesso con le esigenze aziendali. In un mondo in evoluzione continua, non sempre è possibile programmare, fin dall’origine, ciò che negli anni andrò a sviluppare; spesso le organizzazioni sono costrette a cambiare rotta in corsa, ridefinirsi, evolversi, come è nella natura delle cose, soprattutto in questi tempi davvero imprevedibili. E allora? Come si conciliano queste esigenze con le prescrizioni normative? 

La risposta ce la da la stessa norma del GDPR, la cui flessibilità ed adattabilità alle situazioni non smette mai di stupire.  Il considerando 50 al GDPR recita: 

Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. 

Quindi, è possibile raccogliere il dato per una finalità e poi, una volta acquisito, utilizzarlo per un’altra finalità, a condizione che la finalità del nuovo trattamento sia compatibile con quella originaria. Nella valutazione di compatibilità (di cui, ovviamente, deve restare traccia) è necessario tenere conto del contesto nel quale il dato è stato inizialmente raccolto, nonché delle legittime aspettative dell’interessato. 

 

Naturalmente, le nuove finalità devono essere lecite ma, udite udite, non sarà necessario individuare una nuova base giuridica di legittimità per il trattamento del dato (ipotesi espressamente esclusa dallo stesso considerando 50). Naturalmente (questo lo aggiungiamo noi) a condizione che il nuovo trattamento avvenga, in un certo senso, in continuità di intenti con il precedente. Sintetizzando, il titolare dovrà: 

  1. definire la nuova finalità di trattamento 
  2. valutare e documentare la compatibilità della nuova finalità in relazione alla finalità originaria
  3. valutare la liceità del nuovo trattamento ipotizzato (nonché il rispetto di tutti gli altri principi ex art. 5 GDPR) 
  4. informare gli interessati (perché, ovviamente, ogni nuovo trattamento richiede piena trasparenza nei confronti delle persone coinvolte). 

Un esempio? Un sito di e-commerce raccoglie i dati personali dei propri clienti allo scopo di dare esecuzione al contratto di compravendita, gestire la contabilità, effettuare la consegna del prodotti ordinati. In un secondo momento, il titolare del sito decide di coinvolgere i clienti in un sondaggio di gradimento, allo scopo di valutare il livello di soddisfazione e raccogliere commenti utili a migliorare prodotti e servizi. Sebbene questa finalità (nell’ipotesi) non fosse stata valutata all’origine, rappresenta un trattamento lecito perché in continuità con il trattamento originario e comunque, rispondente alle legittime aspettative del cliente (adeguatamente informato all’atto del ricevimento del questionario). 

 

Attenzione però, la possibilità di introdurre nuove finalità non si configura mai e poi mai nella possibilità di estendere la titolarità del dato a nuovi soggetti.  Non dobbiamo ritenere, ad esempio, che il margine di manovra concesso al titolare del trattamento si estenda al responsabile del trattamento in relazione ai dati in suo possesso. A tal proposito la chiosa dell’art. 28 § 10 del GDPR è oltremodo chiara quando stabilisce che “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”. In altri termini, un responsabile del trattamento non può legittimamente utilizzare i dati di cui è in possesso definendo in autonomia nuove finalità (prerogativa, questa, del titolare). 

 

In conclusione: minimizzare i dati e limitarne le finalità di utilizzo non significa costringere il titolare ad una completa ed immutabile definizione strategica fin dall’originaria acquisizione del dato. Un uso intelligente e rispettoso delle proprie prerogative permette invece al titolare del trattamento di ridefinire di tempo in tempo i suoi obiettivi senza necessariamente perdere il patrimonio di dati fino ad allora acquisito.