Le condizioni generali per il trattamento dei dati sono citate nel Dlgs 196/03, in particolare nell’ articolo 3
Art. 3. Principio di necessità nel trattamento dei dati
- I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
che anticipa il concetto di protezione di default citata nell’articolo 23 del GDPR, e nell’articolo 11
Art. 11. Modalità del trattamento e requisiti dei dati
- I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
che anticipa in buona misura il contenuto dell’articolo 5 del GDPR
Articolo 5 Principi applicabili al trattamento di dati personali
- I dati personali devono essere:
a) trattati in modo lecito, equo e trasparente nei confronti dell’interessato (“liceità, equità e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità; un ulteriore trattamento dei dati personali per finalità di archiviazione nel pubblico interesse o per finalità di ricerca scientifica e storica o per finalità statistiche non è, conformemente all’articolo 83, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente per finalità di archiviazione nel pubblico interesse o per finalità di ricerca scientifica e storica o per finalità statistiche, conformemente all’articolo 83, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
e ter) trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”);
Una differenza sostanziale fra l’attuale e la nuova normativa è costituita dall’impatto che la violazione di tali prescrizioni ha nei confronti di chi effettua il trattamento.
Nel caso della normativa attuale, il mancato rispetto dell’articolo 3 o dell’articolo 11 non appaiono sanzionati, anche se in realtà il rispetto dell’articolo 3 è in genere condizione essenziale per potere effettuare un trattamento di dati sensibili o giudiziari, in quanto il Garante privacy lo richiama sempre espressamente nelle proprie autorizzazioni di carattere generale (il cui mancato rispetto è si sanzionato).
Il GDPR da invece una importanza fondamentale al rispetto sia dell’articolo 5 sia dell’articolo 23 sanzionando la violazione del primo con una sanzione fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
e del secondo con una sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Ne consegue che ad esempio, la semplice presenza nei propri database di dati non esatti è di per se sanzionata. Ecco allora che chi effettua il trattamento dei dati personali dovrà rifarsi caso per caso a standard e modelli di riferimento consolidati, per evitare di inventare da zero soluzioni idonee al rispetto delle richieste normative.
Nel caso della gestione di dati esatti chi effetta il trattamento potrà agevolare soluzioni per la data governance e la definizione di policy di data quality già imposte normativamente in alcuni settori come quello bancario. La presenza di settori che hanno già dovuto affrontare queste richieste può essere un valido aiuto nell’individuare possibili soluzioni applicabili, con gli opportuni adattamenti, anche in altri contesti.