Tutela dei dati personali - Approccio per trattamenti

Nelle consulenze, ma anche semplicemente quando si chiacchiera di privacy, incontro quasi sempre un fraintendimento che rischia di non far comprendere in cosa consiste veramente l’attività di controllo che la normativa pone in capo ai titolari del trattamento.

Una volta passato il concetto per cui la legittimazione al trattamento dei dati dipende dalla sussistenza di una delle basi giuridiche individuate dal Regolamento, è facile che il titolare intenda quella legittimazione come riferita ad un generico diritto di possedere ed utilizzare i dati dei propri clienti o utenti, ecc.

Ad esempio, individuata l’esecuzione di un contratto di cui sia parte l’interessato quale fonte di legittimazione al trattamento dei suoi dati, per i non addetti ai lavori non è immediato cogliere come tale legittimazione, in realtà, sia limitata solo a (i) determinati dati personali dell’interessato (quelli oggettivamente indispensabili all’esecuzione del contratto), (ii) determinate attività di trattamento (ancora una volta, quelle effettivamente indispensabili, come ad esempio la raccolta, l’organizzazione, ma non la comunicazione o la diffusione) e (iii) alle finalità portate a conoscenza dell’interessato attraverso l’informativa (ad esempio per la spedizione dei beni ordinati al domicilio dell’acquirente, ma non per l’iscrizione a una mailing list).

La differenza è ancora più evidente quando a legittimare il trattamento è il consenso dell’interessato. Affinché questo sia validamente prestato, è necessario che l’interessato sia stato preliminarmente informato, tra l’altro, di quali dati il titolare intende trattare, per quali finalità e in cosa il trattamento consisterà. Di conseguenza, il consenso è da intendersi sempre e comunque delimitato da queste coordinate.

Ricordo, quindi, a me stesso che è necessario abituare gli interlocutori o clienti ad un approccio per trattamenti e non (solo) per categoria di interessati e/o per finalità, accompagnandoli in un percorso di mappatura che tenga distinti trattamenti tra loro diversi, individuando per ognuno le corrette basi giuridiche, i relativi limiti ed i correlati rischi.

Il fraintendimento di cui dicevo all'inizio lo si riscontra poi in molti registri dei trattamenti "compilati" da titolari "autodidatti", in cui stanno insieme, sulla stessa riga del foglio excell, i trattamenti più disparati, aventi in comune solo la categoria degli interessati o una finalità troppo ampia o generica per potersi considerare efficacemente individuata.