I dati possono essere utilizzati per un’altra finalità?

Risposta

Sì, ma solo in alcuni casi. Se la tua azienda/organizzazione ha raccolto i dati sulla base di un interesse legittimo, di un contratto o di interessi vitali, può usarli per un’altra finalità, ma solo dopo aver verificato che la nuova finalità sia compatibile con quella originaria.

Si deve tenere conto dei seguenti elementi:

• il legame tra la finalità originaria e la nuova finalità;
• il contesto in cui sono stati raccolti i dati (qual è il rapporto tra la tua azienda/organizzazione e la persona?);
• il tipo e la natura dei dati (sono sensibili?);
• le possibili conseguenze dell’ulteriore trattamento previsto (in che modo inciderà sulla persona?);
• l’esistenza di salvaguardie adeguate (quali cifratura o pseudonimizzazione).

Se la tua azienda/organizzazione intende utilizzare i dati per statistiche o per ricerche scientifiche non è necessario eseguire il test di compatibilità.

Se la tua azienda/organizzazione ha raccolto i dati in base al consenso o a seguito di un obbligo previsto dalla legge, non è possibile alcun ulteriore trattamento al di fuori dei settori coperti dal consenso originale o dalla disposizione di legge. Un ulteriore trattamento richiede un nuovo consenso o una nuova base giuridica.

Esempi

È possibile un ulteriore trattamento

Una banca ha un contratto con un cliente per fornirgli un conto bancario e un prestito personale. Alla fine del primo anno la banca utilizza i dati personali del cliente per verificare se è idoneo a un tipo di prestito e a un piano di risparmio migliori, di cui informa il cliente. La banca può trattare nuovamente i dati del cliente in quanto le nuove finalità sono compatibili con quelle iniziali.

Non è possibile un ulteriore trattamento

La stessa banca vuole condividere i dati del cliente con una compagnia di assicurazione, sulla base dello stesso contratto per un conto bancario e un prestito personale. Questo trattamento non è consentito senza l’esplicito consenso del cliente, in quanto la finalità non è compatibile con la finalità originaria per la quale i dati sono stati trattati.

Riferimenti

• Articoli 5, paragrafo 1, lettera b), 6, paragrafo 4, 89, paragrafo 1; Considerando 39 e 50 del GDPR
• Gruppo di lavoro ex articolo 29 - Parere 03/2013 sulla limitazione delle finalità (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)