Quali sono i principi generali per la protezione dei dati personali?

Ogni trattamento di dati personali deve rispettare i principi fondamentali di liceità, applicabili al settore privato e pubblico. Questi principi sono comuni alle linee guida del 1980 sulla protezione dei dati dell’OCSE, alla Convenzione 108+ del Consiglio d’Europa e alla direttiva (UE) 2016/680, e di conseguenza si ritrovano nella LPD; l’impostazione del GDPR è analoga.

I principi comuni applicabili sia a privati sia a organi federali sono i seguenti:

  • Liceità e buona fede: il trattamento di dati personali deve essere lecito e corretto
  • Proporzionalità o minimizzazione: devono essere raccolti e utilizzati solo i dati strettamente necessari al perseguimento dello scopo legittimo e dichiarato
  • Finalità limitata: i dati personali devono essere trattati per scopi specifici e per altri ulteriori solo se compatibili con quelli originari; è necessario evitare obiettivi vaghi, poco chiari o imprecisi. La specificità va valutata caso per caso; il trattamento si considera incompatibile se la persona interessata può legittimamente considerarlo inatteso, inappropriato o contestabile
  • Limitazione di conservazione dei dati: i dati devono essere conservati per lo stretto necessario per lo scopo del trattamento e poi resi anonimi o distrutti
  • Esattezza: i dati devono essere esatti e, se necessario, aggiornati; si legge nell’avamprogetto: «ogni persona che tratta dati personali dovrà accertarsi che questi siano esatti e aggiornati (obbligo di accertamento). Se sono incompleti o non aggiornati i dati personali trattati vanno corretti e completati (obbligo di diligenza), altrimenti devono essere cancellati (obbligo di cancellazione)».

Il GDPR aggiunge fra i principi anche quelli della trasparenzasicurezza dei datiaccountability: del primo si trova traccia nella LPD allorquando in relazione alla finalità del trattamento si precisa che essa deve essere riconoscibile e, in ogni caso, gli obblighi di informazione verso la persona interessata sono speculari a quelli del GDPR, sebbene con maggiori casi di eccezione.

La sicurezza dei dati non è formalmente citata fra i principi ma la sua violazione da parte dei privati costituisce una lesione della personalità alla stessa stregua della violazione dei principi. 

Quanto all’accountability, la LPD non prevede questo principio in quanto il legislatore elvetico non ha ritenuto che fosse opportuno invertire la regola generale dell’onere della prova per le questioni relative alla protezione dei dati.

Condividi

Post Recenti

EDPB: Data processing supply chain – 3

The Foodinho case

A verbal communication can be a “processing”