La comprensione dei 6 principi chiave del GDPR

Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che il trattamento di tutti i dati personali debba essere allineato ai principi definiti nel regolamento. Come parte dello sforzo per implementare il regolamento, è importante comprendere i principi chiave del GDPR indicati dall’articolo 5 all’articolo 11 del testo del GDPR. Poiché questi principi costituiscono la base dei requisiti del GDPR, cerchiamo di capire quali sono.

Liceità del trattamento

Le società che trattano dati personali dovrebbero farlo in modo lecito. Che significa? Lecito significa che tutto il trattamento deve essere basato su uno scopo legittimo. Il GDPR elenca i sei scopi legittimi e il trattamento dei dati personali deve essere collegato a uno di questi.

1) Limitazione di scopo. Il trattamento dei dati personali deve essere limitato allo scopo legittimo per il quale tali dati personali sono stati originariamente raccolti dall’interessato. Ciò impedisce efficacemente il trattamento di dati personali al di fuori degli scopi legittimi per i quali sono stati raccolti i dati personali.

2) Minimizzazione dei dati. Quando si raccolgono i dati, è possibile richiedere solo i dati personali assolutamente necessari a tale scopo. Ciò significa che non è possibile richiedere o archiviare dati diversi da quelli necessari. Questo è importante quando la tua azienda analizza i dati. Sarà importante limitare l’analisi dei dati a un insieme di dati anonimizzati, o a un insieme di dati per i quali è stato ottenuto il consenso o per i quali esista una chiara finalità di trattamento legittimo.

3) Accuratezza. I dati personali degli interessati devono sempre essere accurati e aggiornati. Questo è semplice e diretto, nel senso che ai controllori1) viene chiesto di garantire che i dati siano mantenuti accurati e che gli interessati possano aggiornare i loro dati quando necessario.

La comprensione dei 6 principi chiave del GDPR - Advisera

4) Integrità e riservatezza. I dati personali devono essere trattati in modo tale da garantire una sicurezza adeguata, inclusa la protezione contro il trattamento non autorizzato o illecito. Inoltre, i controllori devono garantire che i dati non possano essere modificati da persone non autorizzate.

5) Limitazione della conservazione. I dati personali devono essere conservati solo se necessario. Cioè, i dati personali devono essere cancellati una volta che lo scopo legittimo per il quale è stato raccolto è stato adempiuto. Ciò non è semplice e deve essere determinato in conformità con le leggi applicabili che a volte possono richiedere che i dati personali siano conservati per un periodo più lungo rispetto allo scopo di trattamento originariamente previsto.

6) Equo e trasparente. Il GDPR richiede che tutti i trattamenti di dati personali siano equi; cioè, che le aziende non eseguano trattamenti che non siano legittimi. Inoltre, le aziende devono essere trasparenti riguardo al trattamento dei dati personali e informare l’interessato in modo aperto e trasparente. Ciò significa che i dati personali devono essere trattati se, e solo se, esiste un motivo legittimo per il trattamento di tali dati personali. Il GDPR dell’UE impone alle aziende di esercitare la trasparenza in modo che gli interessati siano sufficientemente informati in merito al trattamento dei propri dati personali.

Oltre a questi principi, è anche importante capire come il GDPR definisca i diritti degli interessati e le basi legali per il trattamento – per spiegazioni dettagliate, vedi i seguenti articoli:

Responsabilità

L’aspettativa che le aziende siano eque, trasparenti e che gestiscano i dati personali legittimamente alla fine porta alla responsabilità, che è un quadro di autodisciplina tra le aziende. Inoltre, la responsabilità di dimostrare la conformità a questo principio è sempre a carico del controllore. Ciò significa che le aziende devono essere responsabili nelle loro azioni relative al trattamento dei dati personali, assumere la proprietà di ciò che fanno e dimostrare evidenza di tutte le decisioni prese nel contesto del trattamento dei dati personali. Vedi l’articolo Implementing 3 main accountability principles under the EU GDPR.

Per concludere, i requisiti del GDPR dell’UE si basano su dei principi. Questi principi sono incentrati sui concetti di responsabilità, e di un trattamento lecito, equo e trasparente. Inoltre, ci deve essere un focus sullo scopo e i limiti della conservazione quando si considera la minimizzazione dei dati. E l’integrità e la riservatezza dei dati personali devono essere mantenute sempre, pur mantenendo i dati personali accurati e aggiornati in ogni momento.

Clicca qui per leggere il testo completo del GDPR per saperne di più sui principi chiave del GDPR.


1) Si utilizza qui il termine non ufficiale “Controllore” al posto del termine ufficiale “Titolare del trattamento” come riportato nel testo dell’UE in quanto più intuitivo

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.
Leggi altri articoli di Punit Bhatia