Come si è avuto modo di accennare in un precedente contributo su questo portale (premere qui per leggerlo) tali principi costituiscono il fondamento della tutela dei dati personali nell’impianto del GDPR, e rientrano nel novero dei principi elencati all’art. 5, lett. a).
Il considerando 39 afferma che qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto e che dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano, nonché la misura in cui i dati personali son o saranno trattati.
Il principio di liceità
Tale principio va interpretato in connessione con il principio di stretta legalità, come enunciato nei diritti fondamentali riconosciuti dalla Carta di Nizza, articolo 52, paragrafo 1. Quest’ultimo afferma che qualsiasi limitazione all’esercizio dei diritti e delle libertà deve essere prevista dalla legge e rispettare il nucleo essenziale di tali diritti e libertà. Le limitazioni devono essere proporzionate e funzionali a scopi di interesse generale riconosciuti dall’Unione o alla protezione dei diritti altrui.
L’articolo 52 della Carta di Nizza, letto insieme all’articolo 8, paragrafo 2, della Convenzione europea per la salvaguardia dei diritti dell’uomo, chiarisce che le limitazioni al diritto alla protezione dei dati personali, così come ad altri diritti fondamentali, devono essere previste dalla legge e devono essere proporzionate e necessarie in una società democratica. La stessa Convenzione afferma che non può esserci interferenza da parte dell’autorità pubblica nel diritto al rispetto della vita privata, a meno che questa interferenza non sia prevista dalla legge e sia necessaria per scopi come la sicurezza nazionale o la protezione dei diritti altrui.
Questi principi delineano il quadro normativo all’interno del quale si sviluppa la protezione dei dati personali, come anche di altri diritti fondamentali, con l’ausilio dell’interpretazione della Corte di Giustizia, fino all’attuale sistema del GDPR e della direttiva 2016/680/UE.
Per quanto riguarda specificamente il principio di liceità, come definito negli articoli 5, paragrafo 1, lettera a) e 6 del GDPR, esso svolge la funzione di identificare le basi legittime per il trattamento dei dati, bilanciando il diritto alla protezione dei dati con altri interessi in gioco. Tuttavia, la correlazione logica tra liceità, correttezza e trasparenza, come definita nell’articolo 5, paragrafo 1, lettera a), suggerisce che la legittimità del trattamento non riguarda solo le basi legali, ma anche la conformità complessiva con il diritto, rispettando i requisiti specifici prescritti dalla legge. Infatti, l’interpretazione della Corte europea dei diritti dell’uomo stabilisce che il trattamento dei dati personali è lecito solo se è conforme alla legge, mira a uno scopo legittimo e è necessario in una società democratica.
Il principio di correttezza
Tale principio può esser visto come l’applicazione dei principi di stampo civilistico della buona fede e della diligenza del buon padre di famiglia nell’attività del trattamento dei dati personali.
Esso prevede quindi il rispetto di norme etico deontologiche non codificate, che dispongono tutti quegli accorgimenti per rendere equilibrate le singole posizioni, adeguando il trattamento alle esigenze reciproche, oltre lo stretto dato normativo.
In ogni caso, il principio di correttezza, così come il principio di lealtà precedentemente citato, si riferisce principalmente al rapporto tra il titolare (e il responsabile) del trattamento e l’interessato. Insieme al principio di trasparenza, con il quale, come si è detto, è correlato nell’art. 5, par. 1, lett. a), costituisce un presupposto indispensabile per garantire una delle componenti fondamentali del diritto alla protezione dei dati personali: l’autodeterminazione informativa.
La correttezza, intesa anche come regola di condotta improntata alla lealtà, alla buona fede e al limite dell’abuso del diritto, deve guidare il titolare del trattamento lungo tutte le fasi, dalla raccolta all’elaborazione, all’archiviazione e alle operazioni correlate.
Il principio di trasparenza
Anch’esso può considerarsi come un principio funzionale all’autodeterminazione informativa dell’interessato, che più precisamente mira a rendere consapevole l’interessato delle caratteristiche essenziali del trattamento dei propri dati, consentendogli, se del caso, di esercitare il diritto di revoca previsto dall’articolo 7, paragrafo 3.
In particolare, secondo quanto precisato dalle Linee guida del Gruppo di lavoro sull’articolo 29 (WP29), il principio di trasparenza viene qualificato esplicitamente come un’espressione del principio di correttezza del trattamento ed è strettamente correlato al principio di responsabilizzazione. Il titolare del trattamento deve essere in grado di dimostrare che i dati sono trattati in modo trasparente nei confronti dell’interessato.
Tale principio, contribuisce a instillare fiducia negli interessati, aumentando la loro consapevolezza sull’utilizzo dei propri dati personali e consentendo loro, se necessario, di contestarne le modalità. Come specificato dal Considerando 39, il principio di trasparenza richiede che gli interessati siano informati sulle modalità di raccolta, utilizzo, consultazione o altro trattamento dei loro dati personali e sulla portata di tale trattamento. Inoltre, viene sottolineata l’importanza di rendere facilmente accessibili e comprensibili le informazioni e le comunicazioni relative al trattamento dei dati personali, utilizzando un linguaggio semplice e chiaro. Questo principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento, sulle finalità del trattamento e su ulteriori informazioni per garantire un trattamento corretto e trasparente rispetto alle persone coinvolte e ai loro diritti di conferma e comunicazione del trattamento dei dati personali che li riguardano, ed implica quindi la necessità di sensibilizzare le persone sui rischi, sulle norme, sulle garanzie e sui diritti relativi al trattamento dei dati personali, nonché sulle modalità per esercitare tali diritti. Il principio è declinato e valorizzato attraverso gli obblighi imposti al titolare del trattamento, che deve fornire informazioni specifiche per rendere gli interessati consapevoli di alcuni aspetti essenziali del trattamento. Questo rende il trattamento prevedibile e comprensibile nella sua dinamica e nel suo impatto.
Sono rilevanti, in questo contesto, gli articoli da 12 a 14 del GDPR relativi alle informazioni da fornire agli interessati, l’articolo 22 GDPR sul processo decisionale automatizzato (che garantisce il diritto dell’interessato di contestare le decisioni prese dal titolare, conoscendo anche la logica sottostante, come previsto dal Considerando 63) e l’articolo 34 GDPR, che impone al titolare di comunicare all’interessato (oltre che all’autorità di controllo) la violazione dei dati personali “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, al fine di renderlo consapevole delle possibili conseguenze.
Conclusioni
Per approfondire:
- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019; - M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018; - R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; - S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; - A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024