Quali dati possono essere trattati e in quali condizioni?

Risposta

Il tipo e la quantità di dati personali che un’azienda/organizzazione può trattare dipendono dal motivo del trattamento (motivo giuridico utilizzato) e da ciò che si desidera fare con essi. L’azienda/organizzazione deve rispettare diverse norme chiave, tra cui:

• i dati personali devono essere trattati in modo lecito e trasparente, garantendo l’equità nei confronti delle persone di cui si trattano i dati («liceità, correttezza e trasparenza»);
• occorre avere finalità specifiche per il trattamento dei dati e l’azienda/organizzazione deve indicarle alle persone quando si raccolgono i loro dati personali. Un’azienda/organizzazione non può raccogliere dati personali per scopi non definiti («limitazione delle finalità»);
• l’azienda/organizzazione può raccogliere e trattare solo i dati personali necessari a tale scopo («minimizzazione dei dati»);
• l’azienda/organizzazione deve assicurarsi che i dati personali siano esatti e aggiornati, tenendo conto delle finalità per le quali vengono trattati, e, in caso contrario, correggerli («accuratezza»);
• l’azienda/organizzazione non può utilizzare i dati personali per altri scopi non compatibili con la finalità originaria della raccolta;
• l’azienda/organizzazione deve garantire che i dati personali siano conservati per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti («limiti di tempo per la conservazione»);
• l’azienda/organizzazione deve predisporre adeguate misure tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, la distruzione o il danno, utilizzando tecnologie appropriate («integrità e riservatezza»).

Esempio

La tua azienda/organizzazione gestisce un’agenzia di viaggi. Quando raccogli i dati personali dei tuoi clienti, devi spiegare in modo chiaro e semplice perché hai bisogno di questi dati, come li userai e per quanto tempo intendi conservarli. Il trattamento deve essere adattato in modo da rispettare i principi fondamentali della protezione dei dati.

Riferimenti

• Articolo 5, paragrafo 1 e Considerando 39 del GDPR
• Gruppo di lavoro ex articolo 29 - Parere 03/2013 sulla limitazione delle finalità (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)