Il compatibility test dell’ulteriore finalità di trattamento dei dati personali

Il principio di “limitazione della finalità”[1], contenuto all’interno dell’art. 5 paragrafo 1) lettera b)[2] del Regolamento UE n. 2016/679 (GDPR) da leggersi unitamente ai relativi Considerando n. 39)[3] e 50)[4], sancisce che i dati personali debbano essere raccolti per finalità determinate (ossia, sufficientemente definite), esplicite (ovvero, inequivocabili e chiaramente espresse) e legittime (da intendersi non solo quale mera sussistenza di un idonea base giuridica, ma come conformità all’intero ordinamento giuridico), e successivamente trattati in un modo non incompatibile con tali finalità.

In altri termini, tale principio – nell’inibire, ab origine, il cd. function creep, ovverosia l’ampliamento indebito e progressivo delle finalità di trattamento –  è concepito per offrire un approccio equilibrato, giacché mira, da un lato, a conciliare l’esigenza di prevedibilità e di certezza del diritto riguardo alle finalità del trattamento e, per altro verso, persegue l’esigenza pragmatica di consentire un certo grado di utilizzo aggiuntivo, nel rispetto di limiti attentamente bilanciati.

Fatta questa doverosa premessa, si rileva come la questione di (maggior) rilevanza richiamata dal principio in parola sia, perciò, il riuso dei dati personali, stante, in particolar modo, il fatto che l’attuale società civile è sempre più focalizzata sulle tecnologie di big data analytics, grazie alle quali è (tecnicamente) possibile inferire dati personali da (altri) dati personali.

A tal riguardo, un valido strumento di supporto è, senz’altro, rappresentato dall’Opinion n. 3/2013 del Working Party Art. 29 (infra “WP 29”; ora, EDPB), ove viene affermato che il (determinante) test di compatibilità[5] debba preferibilmente fondarsi su una valutazione sostanziale (piuttosto che formale, per natura eccessivamente rigida, benché, a prima vista, maggiormente obiettiva e neutrale), la quale, capace di andare oltre agli aspetti meramente formalistici, si basa sulla valutazione dei seguenti (utili e noti) criteri, divenendo, così, un metodo flessibile, pragmatico e maggiormente efficace:

1. Il rapporto tra la finalità per la quale i dati sono stati raccolti e la finalità ulteriore di trattamento: a tal uopo, l’attenzione deve concentrarsi sul rapporto sostanziale tra le due finalità (originaria ed ulteriore) di trattamento, onde così comprendere se sussiste una situazione in cui l’ulteriore trattamento fosse già (più o meno) implicito nella finalità iniziale ovvero assunto come una fase logica successiva del trattamento in base a tale finalità.

2. Il contesto in cui i dati sono stati raccolti, e la (ragionevole) aspettativa del soggetto interessato in merito al loro ulteriore utilizzo: al fine di valutare la ragionevole aspettativa del soggetto interessato, è necessario tenere in considerazione la natura del rapporto tra l’interessato e il relativo Titolare del trattamento, lo status di quest’ultimo nonché la base giuridica su cui si è fondata la finalità di trattamento originaria, onde così comprendere il grado di sorpresa dell’interessato e l’eventuale squilibrio, ai danni dello stesso, nel relativo rapporto[6].

3. La natura dei dati e l’impatto dell’ulteriore trattamento sul soggetto interessato: com’è noto, tale terzo fattore esprime un comune approccio, giacché la normativa in parola è stata progettata ed è volta a proteggere le persone fisiche contro l’impatto di un uso improprio ovvero eccessivo dei dati personali: in merito, viene, dunque, ricordato che più sensibili sono le informazioni personali coinvolte, più ristretto è, di conseguenza, l’ambito di un utilizzo compatibile; per altro verso, il WP 29 ha precisato che il rischio da sottoporre ad analisi è maggiormente ampio rispetto a quanto indicato, di consueto, nel Considerando n. 75)[7] del GDPR, dato che devono essere prese in considerazione ulteriori ipotesi, quali, ad esempio, la divulgazione pubblica, l’accessibilità ad un grande numero di persone ovvero l’elaborazione dei dati personali in combinazione con altre informazioni (es. profilazione).

4. Le garanzie applicate dal Titolare del trattamento al fine di determinare un trattamento corretto e prevenire un qualsiasi indebito impatto sul soggetto interessato: in merito, il WP 29 ha precisato che la sussistenza di adeguate misure aggiuntive possono essere idonee, in linea di principio, a compensare l’ulteriore finalità di trattamento ovvero il fatto che essa non sia stata chiaramente specificata all’inizio, così come ex lege richiesto: queste possono consistere in misure di sicurezza tecniche e/o organizzative volte a garantire la separazione funzionale (es. anonimizzazione; pseudonimizzazione; aggregazione) ovvero a concedere un vantaggio al soggetto interessato (es. maggiore trasparenza; agevole esercizio del diritto di opposizione e/o di revoca del consenso)[8].

Si conclude osservando che, a parere di chi scrive, la tematica dell’utilizzo dei dati personali per il perseguimento di una finalità ulteriore rispetto a quella indicata al momento della loro raccolta originaria rappresenta, senza dubbio alcuno, una delle prossime (affascinanti) sfide che riguarderanno, quanto prima, il GDPR, in ragione dell’attuale asset sociale, produttivo e scientifico, fondato, ormai, soltanto su sistemi di intelligenza artificiali dotati, per natura, di enormi capacità di elaborazione.

[1] In un sistema legislativo che lascia il Titolare del trattamento con un notevole grado di libertà in punto di accountability, tale principio è destinato a giocare un ruolo di primaria importanza: esso costituisce, infatti, una limitazione interna al trattamento stesso, in contrasto con la visione che disegna i dati come un patrimonio del titolare (connessi, quindi, ad un vero e proprio ius utendi ed abutendi) che può disporne a proprio piacimento. A tal riguardo, giova evidenziare che la Corte di Cassazione, nella sua sentenza n. 5525 del 5.4.2012, ha affermato che la finalità del trattamento costituisce “un vero e proprio limite intrinseco del trattamento lecito dei dati personali, che fonda l’attribuzione all’interessato del potere di relativo controllo (tanto con riferimento alle finalità originarie che ai successivi impieghi), con facoltà di orientarne la selezione, la conservazione e l’utilizzazione”.

[2] Art. 5 paragrafo 1) lettera b) del GDPR: “I dati personali sono: […] raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità: un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è […] considerato incompatibile con le finalità iniziali”.

[3] Considerando n. 39) del GDPR: “[…] In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali […]”.

[4] Considerando n. 50) del GDPR: “Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali […] L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti di liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenza dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto […]”.

[5] In merito, il WP 29 ha ricordato che, in via potenziale, possono sussistere tre differenti scenari: i) la compatibilità è prima facie ovvia: un ulteriore trattamento può essere ritenuto compatibile, in quanto i dati sono trattati per raggiungere, in un modo consueto, le finalità specificate al momento della raccolta; ii) la compatibilità non è ovvia e, dunque, necessita di un ulteriore analisi: è l’ipotesi in cui potrebbe esserci una connessione tra lo scopo specificato ed il modo in cui i dati vengono successivamente elaborati: ossia, gli scopi sono correlati, ma non completamente corrispondenti; iii) la incompatibilità è ovvia: i dati vengono elaborati in un modo o per scopi aggiuntivi che una persona ragionevole riterrebbe inaspettati, inappropriati o altrimenti discutibili, e il trattamento non soddisfa, senz’altro, le aspettative dell’interessato.

[6] Nel valutare il contesto in cui i dati sono stati raccolti e le ragionevoli aspettative dell’interessato in merito al loro utilizzo, deve essere prestata la dovuta attenzione anche alla trasparenza del trattamento nonché se l’ulteriore trattamento sia basato su una disposizione di legge: in tal caso, la certezza del diritto e la (generale) prevedibilità possono suggerire che l’ulteriore utilizzo è appropriato.

[7] Considerando n. 75) del GDPR: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decrifatura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo: se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

[8] In alcuni casi, la richiesta di uno specifico consenso separato per il nuovo trattamento può aiutare a compensare il cambio di finalità.