Infine, anche il principio di integrità e sicurezza dell’articolo 5, comma 1, lettera (f) del GDPR trova il suo corrisponde nell’ADPPA alla section 208 (“Sicurezza e protezione dei dati”) che prescrive la definizione di pratiche di sicurezza dei dati in capo sia alla covered entity/titolare del trattamento che in capo al service provider/responsabile del trattamen- to, i quali devono stabilire, implementare e mantenere ragionevoli pratiche e procedure amministrative, tecniche e fisiche di sicurezza per proteggere e mettere al sicuro i dati da accessi e acquisizioni non autorizzati. > I PRINCIPI DI NECESSITÀ, MINIMIZZAZIONE E PROPORZIONALITÀ DEL TRATTAMENTO DEI DATI L’articolo 101 dell’ADPPA – che apre il Titolo I della legge (“Doveri di fedeltà”) - preve- de che il titolare del trattamento ( covered entity ) non raccoglie, tratta o trasferisce i dati a meno che la raccolta, il trattamento o il trasferimento non siano limitati a ciò che è ragio- nevolmente necessario e proporzionato per: a. fornire o mantenere uno specifico prodotto o servizio richiesto dalla persona fisica a cui i dati si riferiscono; b. fornire una comunicazione che il destinatario ragionevolmente si attende nel contesto delle sue interazioni con il titolare del trattamento (covered entity); oppure c. realizzare uno scopo espressamente consentito (le “finalità consentite”) tra quelli di seguito elencati. In sostanza, il Legislatore individua casi di trattamento proporzionato se limitato a quanto ragionevolmente necessario e proporzionato per: 1. avviare o completare una transazione o soddisfare un ordine o un servizio specifica- mente richiesto da un individuo, compresa qualsiasi conseguente attività amministra- tiva ordinaria correlata, come la fatturazione, la spedizione, la consegna e la contabilità (es: la raccolta, l’elaborazione o il trasferimento delle ultime quattro cifre di un numero di carta di credito); 2. elaborare i dati ai fini della manutenzione o la diagnostica di un sistema, per effettuare la manutenzione di un prodotto o di un servizio per il quale i dati sono stati raccolti, per condurre ricerche interne o analisi, per migliorare un prodotto o un servizio per il quale tali dati sono stati raccolti e per eseguire la gestione dell’inventario o una ragionevole gestione della rete, per attuare misure anti-spam per eseguire il debug o la correzione di errori che compromettono la funzionalità di un servizio o di un prodotto per il quale tali dati sono stati raccolti;
30
Made with FlippingBook Online newsletter maker