Per comprendere al meglio come applicare correttamente il principio di minimizzazione dei dati è utile analizzare alcuni casi pratici: d’altronde, la minimizzazione è uno dei concetti chiave del GDPR e sbagliarne l’applicazione espone a possibili sanzioni.
Indice degli argomenti
Il principio di minimizzazione
L’art. 5 del Regolamento Europeo 679/2016 (G.D.P.R.) enuncia il principio della “minimizzazione dei dati”, e nello specifico la lettera c) testualmente riporta:
“1. I dati personali sono: … c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati)”.
Cosa si intende, quindi, per “minimizzazione”? Il principio in argomento era già stato sviluppato dal D. L.gs 196/2003 (Codice Privacy), negli articoli 3, dove si illustrava il “principio di necessità del trattamento dei dati”, e 11 lett. d), che imponeva il rispetto del principio di pertinenza, completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati.
Entrambi i predetti articoli del Codice della Privacy sono stati abrogati con l’entrata in vigore del D. L.gs 101/2019 in data 19 settembre 2018. Il principio di minimizzazione è stato affrontato recentemente anche dalla Suprema Corte di Cassazione, che a fine dicembre 2019 è intervenuta (con ordinanza n. 34113 del 19/12/2019) in materia di privacy, ribadendo in proposito il principio stabilito dall’art 5 lett. c) del Regolamento Europeo 679/2016 sulla protezione dei dati personali.
Attualmente, pertanto, il riferimento normativo è costituito dall’art. 5, nel combinato disposto con l’art. 6, del Regolamento Europeo 679/2019, da cui si risale ai principi generali che il titolare del trattamento è tenuto a seguire nelle raccolta dei dati personali degli utenti.
Risulta quindi utile comprendere il significato di tale principio e indicare le sue modalità di applicazione in concreto.
GDPR e minimizzazione dei dati: condizioni di liceità
Il trattamento dei “dati personali” per essere lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Il richiamo alle finalità della raccolta rende necessario, di volta in volta, accertare quale sia lo scopo che il Titolare del trattamento si prefigge al momento di richiedere i dati personali agli interessati, in quanto il consenso di questi ultimi è, per l’appunto, legato a tale unico fine, ed un utilizzo per obiettivi diversi risulterebbe eccedente e non pertinente.
Una raccolta di dati è eccedente quando risulta eccessiva, esagerata in termini numerici, troppo vasta rispetto all’intenzione di chi raccoglie le informazioni; è non pertinente quando non si lega all’obiettivo da raggiungere, non serve per la finalità che si prestabilisce, in sintesi è superflua. Solo prendendo in considerazione lo scopo è, quindi, possibile stabilire se i dati raccolti rispettino le condizioni di liceità di cui all’art. 6 del GDPR (cioè se rispettino finalità determinate, esplicite e legittime) e se la loro raccolta sia strettamente necessaria al raggiungimento dello scopo prefissato.
GDPR e minimizzazione dei dati: le newsletter
Per meglio comprendere il significato del principio di minimizzazione, si ritiene utile affrontare il tema mediante alcuni esempi. Se una società commerciale decidesse di inviare ai propri utenti una newsletter, l’unico dato personale necessario per tale attività sarebbe l’indirizzo e-mail a cui inviarla; inoltre, tale dato potrebbe essere utilizzato solo e soltanto per lo scopo indicato. Pertanto, laddove tale società dovesse fare un ulteriore utilizzo di questi dati, oppure se dovesse richiedere altri dati personali oltre l’indirizzo e-mail, nella sua qualità di titolare del trattamento commetterebbe una violazione del principio di minimizzazione così come previsto dal GDPR.
GDPR e minimizzazione dei dati: programmi fedeltà
Lo stesso dicasi rispetto ai dati indispensabili per l’iscrizione ad un “programma fedeltà”, che si limitano ai dati personali e di contatto; in questo caso, la richiesta di altre informazioni, quali l’indicazione del reddito annuo o della proprietà di beni immobili sarebbe non pertinente, e quindi renderebbe il trattamento contrario al principio in esame. Si prenda in considerazione ancora il caso in cui una società volesse aggiornare i dati conferiti dai propri clienti, chiedendo ad esempio all’anagrafe le nuove informazioni per poter aggiornare dati precedentemente raccolti. Se i dati in suo possesso sono utilizzati a fini di fatturazione, l’azienda non avrebbe diritto di accedere all’anagrafe per aggiornare gli indirizzi di vecchi clienti allo scopo di inviare loro comunicazioni commerciali. In questo caso, risultando diversa la finalità rispetto al momento della iniziale raccolta dei dati, occorrerà un nuovo consenso per le comunicazioni commerciali e, quindi, dovrà essere effettuata una nuova raccolta.
GDPR e minimizzazione dei dati negli enti pubblici
Un ente pubblico, inoltre, sappiamo che detiene i dati di contatto dei cittadini iscritti all’anagrafe. La raccolta di tali informazioni è lecita in quanto destinata a consentire all’ente di svolgere la propria attività e di destinare alle persone i propri servizi. Per trasferire i dati personali ad un’azienda esterna che deve svolgere un servizio di prima necessità, quale potrebbe essere la raccolta dei rifiuti, è chiaro che il trattamento (trasferimento dei dati) è consentito, in quanto tale servizio, pur essendo esternalizzato, rientra nei compiti della PA. ed è essenziale e rivolto a tutti.
Laddove, diversamente, l’ente dovesse trasferire interamente il proprio patrimonio di dati ad un soggetto privato che avesse come finalità quella di contattare persone interessate ad un eventuale prodotto o servizio, allora il trasferimento non potrebbe avvenire senza il consenso dell’interessato. In quest’ultimo caso, infatti, l’Ente cederebbe tutti i dati a fronte di un ipotetico effettivo utilizzo in percentuale anche molto bassa rispetto alla totalità degli interessati, ed il trasferimento dei dati risulterebbe eccedente rispetto al fine prefissato (si mettono a disposizione informazioni di contatto di 100 persone per un risultato finale concreto magari di soli 15 interessati alla proposta). Il principio in trattazione impone la “limitazione” dei dati personali, che possono essere trasferiti solo con riguardo ai casi in cui il consenso sia stato rilasciato, ed impedisce l’invio massivo che sarebbe sproporzionato ed eccedente rispetto alle finalità.
GDPR e minimizzazione dei dati: slot machine
Ulteriore esempio è costituito dal provvedimento del Garante datato 24.07.2019 in tema di apparecchi VLT, che ha espresso parere favorevole alla modifica dei macchinari prevedendo, nel rispetto dei principi di minimizzazione e di privacy by design e by default, che le modalità di accertamento della maggiore età avvengano mediante l’estrazione delle informazioni registrate nelle prime due tracce della banda magnetica della tessera sanitaria (codice fiscale ed identificativo della tessera) senza che le stesse siano memorizzate nelle banche dati del sistema di gioco VLT. Ciò in quanto unico scopo prefissato risulta essere quello di verificare la maggiore età del giocatore ed impedire l’avvio di una sessione di gioco in tutti i casi in cui non sia accertata la sua maggiore età. Nessuna memorizzazione di dati sarebbe, pertanto, lecita in quanto contraria (eccedente) rispetto alla finalità prefissata.
Conclusione
In sintesi, il titolare del trattamento può raccogliere dati personali per finalità determinate, esplicite e legittime, dettagliatamente illustrate nell’informativa messa a disposizione degli interessati, in quanto ogni successivo trattamento dovrà risultare compatibile con tali finalità («limitazione della finalità»). I dati dovranno risultare adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).