Ogni giorno ci troviamo di fronte a documenti contenenti dati personali.
Quotidianamente compiliamo moduli che richiedono dati personali, non solo i nostri, ma anche quelli di altri.
Inviamo e riceviamo continuamente e-mail con dati personali.
Archiviare questi dati, sia sul nostro computer che nei nostri archivi cartacei, diventa una routine.
Uno dei principi fondamentali del trattamento di dati personali è la minimizzazione.
Cosa si intende per “minimizzazione”?
L’art 6 del GDPR indica che il trattamento dei “dati personali” per essere lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Quando la raccolta dati è eccessiva?
La raccolta dei dati è eccessiva quando, in termini numerici, va oltre lo scopo per cui sono stati raccolti; in altre parole, i dati non sono rilevanti per l’obiettivo che si vuole raggiungere e diventano inutili.
Occorre quindi chiedersi se la raccolta è idonea a raggiungere l’obiettivo desiderato, e in secondo luogo, se è adeguata e necessaria ai suoi scopi.
È importante tenere in considerazione il principio della minimizzazione dei dati fin dalla progettazione del trattamento (prodotti – servizi – applicazioni) di dati personali.
Un esempio concreto?
La vostra azienda gestisce un E-commerce e raccoglie ogni sorta di informazione sui navigatori, magari per analisi dei dati che non vengono in realtà mai fatte o per potenziali attività di marketing?
Raccoglie dati di persone tramite un CRM, moduli online o altri strumenti, con l’intento “eventualmente” di valutare in futuro il potenziale di vendita di altri prodotti o servizi?
O ancora, raccogliete una quantità eccessiva di dati sul personale, come i log di navigazione?
Cosa deve fare il titolare?
Per dimostrare la conformità al Regolamento, il titolare del trattamento deve implementare politiche interne e adottare misure che garantiscano, in particolare, i principi della protezione dei dati fin dalla progettazione.
Tali misure dovrebbero includere, tra l’altro, la minimizzazione del trattamento dei dati personali, la pseudonimizzazione tempestiva dei dati, la promozione della trasparenza riguardo le finalità, la possibilità per l’interessato di gestire il trattamento dei propri dati e la creazione, da parte del titolare del trattamento, di soluzioni per migliorare la sicurezza.
