Home

Principio di correttezza del trattamento dei dati personali

27 Febbraio 2023

Ai sensi dell'art. 5, par. 1, lett. a) regolamento (UE) 2016/679 (“GDPR”)  i dati personali devono essere "trattati in modo lecito, corretto e trasparente nei confronti dell'interessato". Il principio di correttezza si traduce come necessità che i dati siano trattati solo come gli interessati si aspetterebbero ragionevolmente e non in modo tale da procurare loro effetti negativi ingiustificati.

Inquadramento

L'art. 5, par. 1, lett. a) regolamento (UE) 2016/679 (“GDPR”) prevede che i dati personali vanno "trattati in modo lecito, corretto e trasparente nei confronti dell'interessato". La correttezza si traduce nella necessità di trattare i dati solo nei modi che gli interessati si aspetterebbero ragionevolmente e non usarli in modi aventi effetti negativi ingiustificati sugli stessi. Quindi, il titolare deve riflettere anticipatamente non solo su come usare i dati, ma anche se farlo o meno. Le misure e garanzie attuative del principio della correttezza supportano anche i diritti e le libertà degli interessati, in particolare il diritto all'informazione (trasparenza), quello d'intervenire nel trattamento (accesso, cancellazione, portabilità dei dati, rettificazione) e quello di limitazione del trattamento (il diritto a non essere sottoposto a un processo decisionale automatizzato e non subire discriminazioni nel contesto di tali processi). Peraltro, le misure e garanzie che attuano il principio di correttezza possono costituire una declinazione dei principi di protezione dei dati fin dalla progettazione e per impostazione definita ex art. 25 GDPR, nonché essere oggetto d'implementazione operativa relativamente a trattamenti realizzati usando specifiche tecnologie (in primis, l'intelligenza artificiale) e/o in settori particolari (per esempio, quello del recupero crediti, con riguardo al quale l'autorità di controllo italiana ha emanato un provvedimento ad hoc).

La correttezza quale principio applicabile al trattamento dei dati personali

La correttezza è un principio fondamentale del quadro normativo dell'Unione Europea (“UE”) in materia di protezione dei dati. Il principio è incluso nell'art. 8, par. 2 della Carta dei Diritti Fondamentali dell'UE e nell'art. 5, par. 1, lett. a) GDPR, in base al quale i  dati  vanno appunto "trattati in modo  lecito , corretto e trasparente nei confronti dell'interessato".

I principi di liceità, correttezza e trasparenza avrebbero potuto essere elencati singolarmente, costituendo concetti distinti; tuttavia, la scelta del legislatore europeo di raggrupparli in una sola espressione ne evidenzia l'unità teleologica.

Peraltro, tra correttezza e liceità del trattamento esistono delle differenze: mentre la prima costituisce un rimando alla buona fede nella gestione delle relazioni con l'interessato, la liceità consta nella corrispondenza delle condotte del titolare alle norme di diritto positivo.

Nonostante l'assenza di un'ampia letteraturache si occupi specificamente di questo principio, è possibile distinguere un ruolo esplicito e implicito della correttezza nella protezione dei dati. In particolare, la correttezza esplicita è associata alla nozione di trasparenza nella raccolta dei dati, mentre la correttezza implicita è legata alla protezione dall'abuso del titolare e al concetto di “giusto bilanciamento”.

La correttezza si traduce nella necessità di trattare i dati solo nei modi che gli interessati si aspetterebbero ragionevolmente e non usarli in modi aventi effetti negativi ingiustificati sugli stessi. Quindi, il titolare deve riflettere anticipatamente non solo su come usare i dati, ma anche sul se usarli.

La valutazione della correttezza del trattamento dipende in parte da come i dati sono ottenuti. In particolare, se l'interessato è fuorviato al momento dell'ottenimento dei dati, ciò determina la scorrettezza del trattamento.

Peraltro, a volte il trattamento può determinare impatti negativi sull'individuo, senza che ciò faccia automaticamente venirne meno la correttezza, la quale andrà valutata considerando la presenza di una causa giustificativa rispetto al pregiudizio arrecato all'interessato.

Le misure e garanzie attuative del principio di correttezza supportano anche i diritti e le libertà degli interessati, in particolare i diritti all'informazione, all'intervento nel trattamento e alla limitazione del trattamento. Al riguardo, può citarsi anche il richiamo al principio di correttezza svolto dallo European Data Protection Board (“EDPB”) nelle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 (Versione 1.1)”, ove, con riguardo alla necessità che il consenso ex art. 7 GDPR sia debitamente informato, si precisa che “[…] il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. […]”.

Principi di protezione dei dati fin dalla progettazione e per impostazione predefinita

Le misure e garanzie attuative del principio di correttezza possono costituire una declinazione dei principi di protezione dei dati fin dalla progettazione e per impostazione definita ex art. 25 GDPR.

Gli elementi principali della progettazione e dell'impostazione predefinita relativi alla correttezza includono:

  • Autonomia. Agli interessati va garantito il massimo grado possibile di autonomia nel determinare l'uso cui sono sottoposti i loro dati, nonché l'ambito di applicazione e le condizioni di tale trattamento.
  • Interazione. Gli interessati devono potere comunicare ed esercitare i propri diritti in relazione ai dati trattati dal titolare.
  • Aspettativa. Il trattamento dovrebbe corrispondere alle aspettative ragionevoli degli interessati.
  • Non discriminazione. Il titolare non può discriminare ingiustamente gli interessati.
  • Non sfruttamento. Il titolare non deve abusare delle esigenze o vulnerabilità degli interessati.
  • Equilibrio dei rapporti di forza. Tale equilibrio dovrebbe essere un obiettivo chiave della relazione tra titolare e interessato. Occorre evitare gli squilibri nei rapporti di forza e, ove ciò non sia possibile, è necessario individuarli e tenerne conto per adottare adeguate contromisure.
  • Assenza di trasferimento di rischi. I titolari non dovrebbero trasferire i rischi d'impresa agli interessati.
  • Assenza di prassi ingannevoli. Le informazioni e opzioni relative al trattamento dei dati vanno fornite in modo obiettivo e neutrale, evitando formulazioni o meccanismi ingannevoli o manipolatori.
  • Rispetto dei diritti. Il titolare deve rispettare i diritti fondamentali degli interessati e attuare misure e garanzie adeguate, senza comprimere tali diritti se non ove ciò sia espressamente giustificato dalla legge.
  • Eticità. Il titolare dovrebbe guardare all'impatto complessivo del trattamento sui diritti e sulla dignità delle persone.
  • Veridicità. Il titolare deve dichiarare le proprie modalità di trattamento dei dati e agire secondo quanto dichiarato in merito, senza fuorviare gli interessati.
  • Intervento umano. Il titolare deve integrare un intervento umano qualificato in grado d'individuare le distorsioni (bias) che i trattamenti automatizzati possono generare, conformemente al diritto di non essere sottoposto a un processo decisionale automatizzato ex art. 22 GDPR.
  • Imparzialità degli algoritmi. Il titolare deve valutare periodicamente se gli algoritmi funzionino in linea con le finalità e adeguarli per attenuare le distorsioni individuate e garantire l'imparzialità del trattamento. Gli interessati dovrebbero essere informati in merito al trattamento dei dati attraverso algoritmi che ne facciano oggetto di analisi o previsioni.

Principio di correttezza e intelligenza artificiale

L'avvento dell'intelligenza artificiale (“IA”) e del machine learning ha portato in primo piano le questioni etiche connesse alla protezione dei dati. I requisiti del GDPR pongono sfide tecniche agli sviluppatori e contribuiscono a mitigare alcuni effetti potenzialmente negativi di tale tecnologia.

Tali sistemi hanno la capacità di analizzare enormi quantità di dati e necessitano degli stessi durante le fasi di apprendimento e testing. In tale contesto, è fondamentale l'adesione al principio di correttezza di cui al GDPR, in particolare per evitare potenziali effetti discriminatori.

Può capitare, infatti, che i sistemi d'IA apprendano da dati che rispecchiano le caratteristiche di un determinato gruppo d'individui e ciò determini un sostanziale sbilanciamento tra i gruppi rappresentati. Tale sbilanciamento può riverberarsi in risultati discriminatori in base alle caratteristiche oggetto di analisi.

L'autorità di supervisione britannica (“ICO”), nella propria “Guidance on the AI auditing framework”, ha identificato due ragioni principali per cui un sistema di machine learning usato per classificare o effettuare previsioni con riguardo a degli individui possa portare a discriminazioni:

  • mancato bilanciamento dei dati di addestramento. Trattasi dell'ipotesi in cui sia sovra rappresentato un determinato gruppo sociodemografico nei dati di training. Ciò determinerà che il modello offrirà prestazioni migliori con riguardo alle relazioni statistiche riguardanti il gruppo sovra rappresentato.
  • uso di dati di addestramento che riflettano una discriminazione pregressa.

Pertanto, i titolari che intendano intraprendere attività basate sull'intelligenza artificiale devono implementare una serie di controlli basata su tre fasi distinte, riassumibili come segue:

  • Prevenzione. È necessario:
  • Adottare un sistema di governance dei dati che descriva come gli stessi sono usati per l'addestramento, il test o la valutazione del sistema d'IA.
  • Assicurarsi che gli sviluppatori del software siano stati adeguatamente formati.
  • Effettuare una valutazione d'impatto sulla protezione dei dati personali, a norma dell'art. 35 GDPR, che includa un esame approfondito del rischio di discriminazione e delle misure previste per mitigarlo e controllarlo.
  • Identificazione. Va monitorata regolarmente l'imparzialità del trattamento svolto dall'algoritmo.
  • Correzione. È necessario:
  • Aggiungere o rimuovere i dati sui gruppi sottorappresentati o sovra rappresentati, includendo un'analisi approfondita e una relativa giustificazione.
  • Ri-allenare periodicamente il modello con dei vincoli d'imparzialità.

In conclusione, in relazione all'implementazione di trattamenti fondati sull'utilizzo dell'IA, è fondamentale che il titolare sia in grado di spiegare come alcuni risultati siano stati generati o quali particolari caratteristiche di un soggetto sono state importanti per raggiungere una decisione finale. Tale obbligo, oltre che costituire un'applicazione del principio di correttezza, è altresì una declinazione del principio di trasparenza, come disciplinato operativamente negli artt. 12 ss. GDPR.

Il principio di correttezza nell'attività di recupero crediti

Con il proprio provvedimento del 30 novembre 2005 denominato “Liceità, correttezza e pertinenza nell'attività di recupero crediti”, il Garante per la Protezione dei Dati Personali (“GPDP”) ha avuto modo di fornire alcuni esempi applicativi del principio in esame con riguardo all'attività di credit collection.

In particolare, l'autorità ha avuto modo di chiarire come tale principio precluda, sia in fase di raccolta delle informazioni sul debitore, sia nel tentativo di prendere contatto con il medesimo (anche attraverso terzi), comportamenti suscettibili d'incidere sulla sua dignità.

Sono pertanto illecite le operazioni di trattamento consistenti nel sollecitare il pagamento con modalità che palesino a osservatori esterni il contenuto della comunicazione: ciò può accadere nel caso di utilizzo di cartoline postali o tramite l'invio di plichi recanti all'esterno la scritta "recupero crediti" o locuzioni simili dalle quali possa comunque desumersi l'informazione relativa all'asserito stato d'inadempimento del destinatario della comunicazione.

Attesa la natura delle informazioni trattate e l'elevato rischio di diffusione a terzi d'informazioni personali relative al debitore, è pertanto necessario che le sollecitazioni di pagamento siano portate a conoscenza del solo debitore, ricorrendo a plichi chiusi, che riportino all'esterno le sole indicazioni necessarie a identificare il mittente, prive di dati eccedenti rispetto a quelli necessari al recapito della comunicazione.

In tale senso, inoltre, depongono alcune previsioni del Codice di procedura civile, introdotte per rendere tale disciplina compatibile con le finalità di protezione dei dati personali, come pure alcune norme settoriali (per esempio in materia di riscossione tributaria e credito al consumo) che, disciplinando la modalità trasmissiva di intimazioni di pagamento, ne prevedono la comunicazione in plico chiuso.

Orientamenti a confronto 

IL CARATTERE AUTONOMO DEL PRINCIPIO DI CORRETTEZZA: ORIENTAMENTI A CONFRONTO

Autonomia del principio di correttezza rispetto ad altri principi in materia di trattamento

In ordine al sistema di rilevazione […] la sua liceità deve essere verificata altresì sotto altri profili concernenti i principi di necessità, proporzionalità, finalità e correttezza, nonché qualità dei dati (Garante per la protezione dei dati personali, provvedimento 21 luglio 2005, doc. web 1150679).

Sovrapponibilità del principio di correttezza ad altri principi in materia di trattamento
  • [L]’Ufficio ha rilevato che il trattamento dei dati personali degli interessati, nelle modalità sopra descritte, è stato effettuato dall’Azienda in violazione del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) e dell’art. 13 del Regolamento, in quanto non è stata fornita agli interessati, che hanno partecipato al concorso, un’idonea informativa (Garante per la protezione dei dati personali, provvedimento 17 settembre 2020, doc. web 9461168).
  • Nella propria “Composite Response” inerente al provvedimento riguardante WhatsApp Ireland Limited, nell’ambito della procedura di cooperazione tra autorità di controllo avviata a norma degli artt. 60 ss. GDPR, l’autorità di controllo capofila (il Data Protection Commissioner irlandese) ha ritenuto di non aderire alle obiezioni sollevate dal GPDP con riguardo alla contestazione di un autonomo profilo di violazione inerente al principio di correttezza (“Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)”, adottata dall’EDPB).

Casistica

Correttezza e diritto di critica e cronaca
  • La diffusione […] della notizia afferente l´invito a comparire innanzi all´autorità giudiziaria penale, prima che di detto provvedimento abbia avuto effettiva conoscenza l´interessato, costituisce violazione dei principi di liceità e correttezza […] (Garante per la protezione dei dati personali, provvedimento 2 luglio 1997, doc. web 39256).
  • Il principio di correttezza […] trova applicazione […] nel caso di registrazioni audiovisive accidentali o che non facciano parte di una prova di trasmissione, e impongono alla rete televisiva che le abbia effettuate di astenersi dal diffonderle o, quanto meno, di darne tempestiva notizia all´interessato […] (Garante per la protezione dei dati personali, provvedimento 22 luglio 1998, doc. web 39813).
  • Le esigenze di informazione su fatti di interesse pubblico non possono prescindere dalla liceità e correttezza delle modalità con cui i dati vengono acquisiti […] (Garante per la protezione dei dati personali, provvedimento 19 dicembre 2002 doc. web 1067167).

Correttezza e trasparenza amministrativa

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corrisposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici servizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura degli atti parlamentari […], l´esame dei contratti collettivi, l´accesso ai documenti amministrativi (legge n. 241/1990) e, in sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica. Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente […] (Garante per la protezione dei dati personali, provvedimento 16 settembre 1997, doc. web 39364).

Correttezza e attività creditizia

[G]li istituti di credito e il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti, astenendosi dalla divulgazione a terzi. Pertanto […] in assenza del consenso dell´interessato deve ritenersi illecita la comunicazione dei dati personali di un cliente effettuata da un dipendente dell´istituto in favore del difensore di un terzo […], perché contraria non solo ai principi di liceità e correttezza del trattamento […], ma anche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.) (Garante per la protezione dei dati personali, provvedimento 23 maggio 2001, doc. web 39821).

Correttezza e rapporto di lavoro

È lecito e corretto il trattamento di dati personali di dipendenti di una società concessionaria di un tratto autostradale […] effettuato su videoterminali e in bacheche aziendali, quando risulti provato che gli stessi siano posti in luoghi non accessibili al pubblico degli utenti ed al personale esterno e, per quanto riguarda in particolare i videoterminali, sia accertato che detti dati non sono visionabili o consultabili neppure dal personale che acceda temporaneamente ai locali ove sono custoditi (Garante per la protezione dei dati personali, provvedimento 13 novembre 2003, doc. web 1083460).

Riferimenti

- Linee guida in materia di processi decisionali automatizzati relativi alle persone fisiche e profilazione ai fini del regolamento 2016/679, adottate dall’Article 29 Data Protection Working Party.

- Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita (Versione 2.0), adottate dall’EDPB.

- Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 (Versione 1.1), adottate dall’EDPB.

- Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR), adottata dall’EDPB.

- Garante per la protezione dei dati personali, provvedimento a carattere generale 30 novembre 2005 (“Liceità, correttezza e pertinenza nell’attività di recupero crediti”)

- Guidance on the AI auditing framework, emanata dall’ICO.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Il principio di correttezza nell'attività di recupero crediti