I dati personali possono essere raccolti ed elaborati, al ricorrere di una delle condizioni di liceità previste dall’art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento potrà essere effettuato entro i limiti di quanto necessario per il raggiungimento di tali finalità prestabilite (art. 5, co. 1, lett. b, GDPR: “I dati personali sono: […] b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali «limitazione della finalità»).
Il principio di necessità, in generale, insieme a quello di proporzionalità, è parte integrante della struttura del Regolamento ed accompagna qualsivoglia attività di elaborazione dei dati personali rientrante nell’applicazione del GDPR: le informazioni relative alle persone fisiche quindi non possono mai essere raccolte ed utilizzate indiscriminatamente. Ciò significa che i dati utilizzati devono essere limitati a quelli strettamente necessari rispetto allo scopo per cui gli stessi sono raccolti (scopo che deve, inoltre, essere stato precisamente comunicato prima della raccolta agli interessati). Se dei dati personali non servono, non devono neppure essere raccolti.
In questo senso, il Codice della Privacy imponeva espressamente il rispetto del principio di necessità nel trattamento dei dati (art. 3 d.lgs. 196/2003: “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”), in forza del quale i dati personali dovrebbero essere trattati soltanto quando la finalità perseguita con quel preciso trattamento non possa essere raggiunta ragionevolmente con altri mezzi e soltanto nei limiti di quanto risulti indispensabile in vista di tali finalità.
Il GDPR invece non parla esplicitamente di principio di necessità, ma di minimizzazione del trattamento, che ne costituisce una sottocategoria, e che richiede che i dati personali debbano sempre essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, co. 1, lett. c, GDPR: “I dati personali sono: […] c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati «minimizzazione dei dati»).
Ne consegue che, se, ad esempio, la finalità è quella di inviare una newsletter agli utenti, l’unico dato personale che il titolare avrà bisogno di acquisire sarà l’indirizzo di posta elettronica dell’interessato e tale informazione potrà essere utilizzata esclusivamente per l’invio periodico di tale comunicazione. Ogni ulteriore dato richiesto all’interessato oppure ogni ulteriore utilizzo che verrà fatto del dato così ottenuto determinerà una violazione del principio in esame (e quindi del GDPR) perché eccedente rispetto a quanto strettamente necessario per il raggiungimento di quella finalità come predeterminata e comunicata all’interessato (vale a dire, appunto, il servizio di newsletter). Questo non significa che i titolari non possano raccogliere altri dati o trattarli in modo diverso, ma per ciascuno di essi occorrerà ottenere il consenso dell’interessato o basarsi su un’altra delle condizioni di liceità previste dal Regolamento. In questo caso, però, sarà perseguita anche una finalità ulteriore e sarà effettuato un ulteriore trattamento: di conseguenza, il principio di necessità andrà rapportato a questa diversa attività e i dati minimizzati in relazione a tale trattamento ed allo scopo così perseguito.
Di fatto, i confini di ciascun trattamento vanno tracciati facendo riferimento ad una serie di elementi strettamente connessi tra loro, tra cui le finalità perseguite, la quantità e la tipologia di dati raccolti, il periodo e le modalità di conservazione degli stessi, e sostanzialmente riassunti nei principi elencati all’art. 5 del GDPR, il quale fa espresso riferimento alla necessità di limitare, sotto diversi aspetti volta per volta rilevanti, i dati trattati. Occorrerà infatti incrociare tutti questi elementi per determinare concretamente l’utilizzo dei dati personali che si andrà ad effettuare e poterlo quindi limitare davvero a quanto strettamente necessario, volta per volta, per svolgere tali attività.
Poiché la finalità perseguita va comunicata all’interessato prima di procedere alla raccolta dei dati personali (di modo che lo stesso possa avere cognizione di quali informazioni gli sono richieste, per quale scopo e quale utilizzo ne verrà fatto, oltre a conoscere le conseguenze di un suo eventuale rifiuto), l’analisi a cui dovrà procedere ciascun titolare, prima ancora di raccogliere i dati, dovrà essere volta ad individuare con estrema precisione: 1) quali sono i dati essenziali per quello specifico trattamento che si vuole effettuare, 2) che quel trattamento sia effettivamente necessario per il raggiungimento di quello scopo particolare, 3) che quella finalità, a sua volta, non sia raggiungibile con altri mezzi, ragionevolmente applicabili nel contesto di riferimento. Fatta questa attenta analisi, il titolare dovrà fare in modo, anche avvalendosi di apposite misure tecniche e organizzative, di ridurre al minimo il trattamento dei dati personali nel suo complesso.
Si intuisce quindi che non va affatto tralasciata la stretta connessione che esiste tra il rispetto di questo principio e la necessità di stabilire (e rispettare) un periodo di conservazione dei dati quanto più possibile breve, predeterminato e, comunque, anche in questo caso, non eccedente il tempo strettamente necessario per il perseguimento della finalità del trattamento effettuato. Anche questo principio è espresso chiaramente dall’art. 5, co. 1, lett. e) del GDPR, in forza del quale l’arco di tempo in cui le informazioni possono essere conservate va sempre rapportato alle finalità specifiche del singolo trattamento (tale norma dispone, infatti, che i dati sono “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato «limitazione della conservazione»). Dunque, una volta raggiunto lo scopo per cui i dati sono stati raccolti, il titolare non potrà più conservare tali informazioni.
Di conseguenza, ogni utilizzo di dati superfluo o eccedente, perché non essenziale per il perseguimento delle finalità specificatamente previste ed espressamente comunicate all’interessato o non necessario per integrare una delle condizioni di liceità del trattamento (ad esempio, per adempiere un preciso obbligo di legge) o, ancora, perché esteso a dati non rilevanti o per un periodo di tempo eccessivo, sarà quindi considerato illecito e violativo del GDPR ed esporrà il titolare alle pesanti sanzioni previste dal Regolamento.
Va da sé, infine, che si tratta di una serie di analisi da compiere contestualizzando ciascun trattamento e ciascuna finalità e che dovrà necessariamente essere sottoposta a controlli e revisioni puntuali e periodiche da parte del titolare: i presupposti di liceità e correttezza del trattamento effettuato, infatti, non sono immutabili, ma, anzi, essendo fondati su diverse elementi reciprocamente connessi tra loro, sono esposti a continue modifiche che richiedono costanti verifiche.