Il rispetto del principio di minimizzazione, di cui all’art. 5 del GDPR, nel trattamento dei dati personali.

Premessa

Nello svolgimento delle attività di trattamento dei dati personali, come noto, il titolare deve attenersi scrupolosamente al rispetto dei principi di cui all’art. 5 del Regolamento (UE) 2016/679 (di seguito, “GDPR”).

Uno di questi principi viene definito “principio di minimizzazione dei dati”, in virtù del quale il titolare del trattamento deve assicurarsi che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario per le finalità che il titolare intende raggiungere attraverso quello specifico trattamento.

Il rispetto del principio di minimizzazione richiede, quindi, in capo al titolare e, per il suo tramite, ai soggetti autorizzato – dal titolare – al trattamento dei dati personali di condurre, preventivamente ed in una ottica di Privacy by design e Privacy by Default, un attento scrutinio che prenda in esame ogni singolo trattamento e rispetto ad esso individui la relativa finalità.

Una volta condotto, in dettaglio, tale adempimento sarà poi, relativamente, semplice accertare che il principio di minimizzazione sia stato pienamente attuato.

Considerato che:

1. l’art. 5 del Regolamento (UE) 2016/679 (di seguito, “GDPR”) contiene i principi applicabili al trattamento dei dati personali e, per quanto di stretto interesse in questa sede, il legislatore comunitario ha stabilito all’art. 5, paragrafo 1, lettera C) che i dati personali sono “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“esattezza”).
2. il Considerando (39) stabilisce, a tale riguardo, che “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. (omissis) I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
3. il Considerando (78) stabilisce che il titolare del trattamento dovrebbe adottare politiche interne e attuare misure utili a “ridurre al minimo il trattamento dei dati personali (omissis)”
4. le Linee guida 4/2019 dell’EDPB[1] sull’art. 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, al par. 73 ribadisce al cap. 3.5 – in linea con il GDPR – che:
5. par. 73.  “solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario per la finalità sono sottoposti a trattamento. Di conseguenza, il titolare deve predeterminare quali caratteristiche e parametri dei sistemi di trattamento nonché quali funzioni di supporto siano consentiti, la minimizzazione dei dati realizza e rende operativo il principio di necessità. Nel proseguire il trattamento, il titolare dovrebbe valutare periodicamente se i dati personali trattati siano ancora adeguati, pertinenti e necessari o se occorra cancellarli o renderli anonimi.”
6. Inoltre, al par. 74 viene precisato che “I titolari dovrebbero, in primo luogo, valutare se abbiano bisogno o meno di trattare i dati personali per le finalità che interessano loro. Il titolare dovrebbe verificare se sia possibile conseguire le finalità pertinenti trattando, una quantità inferiore di dati personali o disponendo dati personali meno dettagliati o aggregati, oppure senza doverli trattare affatto. Questa verifica dovrebbe essere eseguita prima di qualunque trattamento, ma potrebbe anche avere luogo in qualsiasi momento nel corso del ciclo di vita del trattamento”.
7. Par. 75. La minimizzazione può anche riferirsi al grado di identificazione. Se la finalità del trattamento non richiede che i set di dati definitivi si riferiscano a una persona fisica identificata o identificabile (come nelle statistiche), ma lo richiede il trattamento iniziale (ad es. prima dell’aggregazione dei dati), il titolare cancella o rende anonimi i dati personali non appena non sia più necessaria l’identificazione. Oppure, se l’identificazione continua a essere necessaria per le altre attività di trattamento, i dati personali dovrebbero essere pseudonimizzati al fine di ridurre i rischi per i diritti degli interessati.
8. Par. 76. Tra gli elementi principali della progettazione e dell’impostazione predefinita, relativi alla minimizzazione dei dati, possono figurare:
9. evitare il trattamento dei dati – evitare del tutto il trattamento dei dati personali quando ciò sia possibile per la finalità pertinente;
10. limitazione – la quantità di dati personali raccolti va limitata a ciò che è necessario    per la specifica finalità;
11. limitazione dell’accesso – definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per esercitare le proprie funzioni, e limitare l’accesso di conseguenza;
12. pertinenza – i dati personali devono essere pertinenti al trattamento in questione e il titolare deve essere in grado di dimostrare tale pertinenza;
13. necessità – ogni categoria di dati personali deve essere necessaria per le finalità specificate e dovrebbe essere trattata soltanto se non è possibile conseguire la specifica finalità con altri mezzi;
14. aggregazione – quando possibile, utilizzare dati aggregati;
15. pseudonimizzazione – pseudonimizzare i dati personali quando non è più necessario disporre di dati personali identificabili e memorizzare le chiavi di identificazione separatamente;
16. anonimizzazione e cancellazione – se i dati personali non sono necessari per la specifica finalità (o non lo sono più), devono essere resi anonimi o cancellati;
17. flusso dei dati – il flusso dei dati deve essere efficiente così da non creare copie ulteriori rispetto a quanto necessario;
18. «stato dell’arte» – il titolare dovrebbe applicare tecnologie aggiornate e adeguate per evitare o minimizzare il trattamento dei dati.

EDPB – Linee guida 4/2019 sull’art. 25

Di seguito si riportano gli esempi pubblicati dalla European Data Protection Board, nelle Linee guida 4/2019 sull’art. 25, a proposito del principio di minimizzazione.

Esempio 1

Una libreria intende aumentare le entrate vendendo i libri online. Il proprietario vuole creare un modello standardizzato per il procedimento di ordinazione. Per garantire che i clienti forniscano tutte le informazioni richieste, il proprietario della libreria rende obbligatori tutti i campi del modulo (se non si compilano tutti i campi il cliente non può effettuare l’ordine). Inizialmente, il proprietario del negozio online usa un modulo di contatto standard in cui si chiedono al cliente informazioni quali la data di nascita, il numero di telefono e l’indirizzo di casa. Tuttavia, i campi del modulo non sono tutti necessari per l’acquisto e la spedizione dei libri.  In questo caso specifico, se l’interessato paga il prodotto in anticipo, la sua data di nascita e il suo numero di telefono non sono necessari per l’acquisto. Ciò significa che questi campi del modulo web non devono essere necessariamente compilati per ordinare il prodotto, a meno che il titolare possa dimostrare chiaramente che la loro compilazione è altrimenti indispensabile, e per quali motivi. Inoltre, vi sono situazioni in cui l’indirizzo non è necessario. Per esempio, quando si ordina un e-book, il cliente può scaricare il prodotto direttamente sul proprio dispositivo. Il proprietario decide quindi di creare due moduli web: uno per ordinare i libri con un campo contenente l’indirizzo del cliente e un altro per ordinare gli e-book senza il campo dell’indirizzo.

Esempio 2

Un’azienda di trasporto pubblico intende raccogliere informazioni statistiche basate sui tragitti dei viaggiatori che consentano di operare scelte adeguate sulle modifiche degli orari del trasporto pubblico e sugli itinerari dei treni. I passeggeri devono passare il loro biglietto attraverso un lettore ogni volta che salgono o scendono da un mezzo di trasporto. Sulla base di una valutazione dei rischi per i diritti e le libertà dei passeggeri legati alla raccolta dei loro itinerari di viaggio, il titolare stabilisce che è possibile identificare i passeggeri ove questi risiedano o lavorino in aree scarsamente popolate attraverso l’identificazione del singolo itinerario, desumibile grazie all’identificativo del biglietto. Poiché tale identificativo non è necessario per ottimizzare gli orari del trasporto pubblico e gli itinerari dei treni, il titolare non lo conserva. Una volta terminato il tragitto, il titolare conserva solo i singoli itinerari di viaggio in modo da non poter identificare i tragitti collegati a uno specifico biglietto, memorizzando soltanto le informazioni sui singoli percorsi di viaggio. Qualora si manifesti comunque il rischio di identificare una persona esclusivamente a partire dal suo itinerario di viaggio, il titolare attua misure statistiche per ridurre tale rischio, per esempio eliminando le informazioni sul luogo di partenza e di destinazione. 

Esempio 3

Un corriere intende valutare l’efficacia delle sue consegne in termini di tempistiche, programmazione del lavoro e consumo di carburante. Per raggiungere questo obiettivo, il corriere deve trattare una serie di dati personali relativi sia ai dipendenti (conducenti) sia ai clienti (indirizzi, articoli da spedire, ecc.). Questo trattamento comporta rischi sia in termini di sorveglianza dei dipendenti, per i quali occorrono specifiche salvaguardie di natura giuridica, sia in termini di rilevamento delle abitudini dei clienti attraverso la conoscenza dei prodotti consegnati nel tempo. Tali rischi possono essere significativamente ridotti tramite una pseudonimizzazione adeguata dei dati relativi a dipendenti e  clienti. In particolare, con una rotazione frequente dei codici di pseudonimizzazione e focalizzandosi su macro-aree anziché sui singoli indirizzi, si realizza un’efficace minimizzazione dei dati e il titolare può concentrarsi esclusivamente sul processo di spedizione e sulla finalità di ottimizzazione delle risorse senza sconfinare nel monitoraggio dei comportamenti dei singoli (clienti o dipendenti).   

Esempio 4 

Un ospedale sta acquisendo dati sui pazienti nell’ambito di un sistema informativo ospedaliero (cartelle cliniche elettroniche). Il personale ospedaliero ha bisogno di accedere ai fascicoli dei pazienti per poter adottare decisioni informate in merito alla loro assistenza e alle cure, nonché al fine di documentare tutte le attività effettuate in materia di diagnosi, assistenza e cura. Per impostazione predefinita, l’accesso è consentito solo ai membri del personale medico cui sia affidata la cura del rispettivo paziente nel reparto specifico cui questi è stato assegnato. Il gruppo di persone che ha accesso al fascicolo di un paziente viene ampliato se nella cura sono coinvolti altri reparti o unità diagnostiche. Una volta dimesso il paziente e completata la fatturazione, l’accesso è limitato a un piccolo gruppo di dipendenti, per ciascun reparto specifico, che risponde alle richieste di informazioni mediche o di consultazione effettuate da altri fornitori di servizi medici, previa autorizzazione del paziente in questione.

Istruzioni per i Soggetti autorizzati al trattamento

Tutto quanto sopra richiamato si forniscono una serie di prescrizioni che i Soggetti autorizzati al trattamento dovranno seguire con estrema attenzione.

1. Avvalendosi del prezioso supporto rappresentato dal registro dei trattamenti, si chiede di censire tutti i trattamenti in essere presso la organizzazione del titolare e di valutare se il principio di minimizzazione sia stato correttamente applicato; in caso contrario provvedere in tale senso.

Si chiede in fase di avvio di un trattamento[2] di dati personali di accertare, in prima battuta:

b.1 Che il trattamento sia rispettoso dei principi di: correttezza, liceità e trasparenza, di limitazione della finalità; di minimizzazione dei dati; di esattezza; di limitazione della conservazione, di integrità e riservatezza; (art. 5 GDPR)[3]

Per il singolo trattamento dovrà essere attentamente analizzato se i principi di cui all’art. 5 GDPR siano pienamente rispettati; in caso di dubbi chiedere all’Ufficio Privacy.Le basi che rendono lecito il trattamento (artt. 6[4] e 9 GDPR).[5] 

Se il trattamento che si intende avviare non è riconducibile a nessuna base di liceità non deve essere posto in essere. In caso di dubbi chiedere all’Ufficio Privacy.

b.2 Le finalità del trattamento, ciò a significare quale è il fine per il quale il trattamento viene attivato;

Se la finalità non è chiara non avviare il trattamento; in caso di dubbi chiedere all’Ufficio Privacy.

b.3 Se è possibile raggiungere il fine senza utilizzare dati personali[6] o, se ciò non fosse possibile, utilizzando solo quelli necessari.

A tale riguardo va condotto uno scrutinio approfondito volto a fare emergere il fine che si vuole raggiungere con uno specifico trattamento; ciò consentirà di stabilire se i dati che si intende trattare siano effettivamente necessari; in caso di dubbi chiedere all’Ufficio Privacy.

---

[1] Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita  Versione 2.0  Adottate il 20 ottobre 2020

[2] Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

[3] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[4] Articolo 6 Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)

f ) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (C47-C50)

La lettera f ) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto

anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente  regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di

trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo

1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (C50)

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

[5] Articolo 9 Trattamento di categorie particolari di dati personali

1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (C51)

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52)

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli

Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f ) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; (C55, C56)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; (C53)

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; (C54)

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. (C53)

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. (C8, C10, C41, C45, C53).

[6] Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo

online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)