
Come abbiamo visto nelle due news di questo mese la violazione del principio di minimizzazione dei dati personali può portare all’erogazione di sanzioni anche di considerevole importo a carico del Titolare.
Tale principio ha la sua fonte giuridica nell’art. 5 lettera c del GDPR – Principi applicabili al trattamento di dati personali:
- […];
- […];
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).
Come sappiamo il trattamento dei dati deve essere lecito e si deve limitare ai soli dati pertinenti (indispensabili) per il perseguimento delle finalità per cui sono raccolti e trattati, per comprendere se il principio di minimizzazione è rispettato si deve analizzare la finalità per la quale il titolare li ha raccolti.
Tale analisi deve essere compiuta prima di dar corso al trattamento (privacy by design), il titolare dovrà verificare se il trattamento ricada in quanto previsto dall’art. 35 GDPR (comma 1) ed in caso positivo predisporre una “valutazione d’impatto” (DPIA).
Cosa significa minimizzazione del dato?
Invio di newsletter
Gli unici dati pertinenti per tale attività sono il nome e cognome del destinatario e l’indirizzo e-mail a cui inviarla.
Iscrizione programma fedeltà
Gli unici dati pertinenti / indispensabili per l’iscrizione ad un “programma fedeltà”, sono i dati personali e di contatto.
Rapporto di lavoro
Il datore di lavoro deve trattare solo quei dati necessari agli adempimenti contrattuali e la gestione del rapporto di lavoro tra questi il nome e cognome, la data di nascita, il codice fiscale, la posizione lavorativa e l’orario di lavoro.
Tali dati inoltre potranno essere trattati solo per il tempo necessario per raggiungere la finalità per il quale sono stati raccolti.
Nelle fonti sotto riportate troverete diversi articoli con spunti molto interessanti:
- Il principio di minimizzazione nel GDPR – GDPR LAB
- GDPR e minimizzazione dei dati, casi pratici d’applicazione – Nextwork360
- Il principio di minimizzazione nel GDPR – Accademia Italiana Privacy
- Minimizzazione del dato: un aspetto spesso trascurato nell’applicazione del GDPR – Accademia Italiana Privacy
- Valutazione di impatto sulla protezione dei dati (DPIA) – Art. 35 del Regolamento UE/2016/679
Condividi