È un trattamento dei dati qualsiasi operazione venga svolta in relazione a dati personali incluso anche il solo accesso o la sola visione.
Si ha trattamento di dati, ad esempio, se si utilizza un impianto di videosorveglianza o un drone con cui si visualizzano immagini di persone anche se non si effettua alcuna registrazione.
Il trattamento deve essere lecito, corretto e trasparente. L’informativa sul trattamento dei dati deve essere chiara e semplice in modo da fare capire senza difficoltà quali dati si stanno trattando e come.
Il trattamento deve avvenire per finalità determinate, esplicite e legittime. Quando si devono trattare dati per un certo scopo che viene indicato nell’informativa (ad esempio per inviare informazioni), quegli stessi dati non possono essere utilizzati per scopi diversi da quelli indicati che non potessero essere prevedibili per l’interessato.
I dati richiesti devono essere pertinenti, adeguati e non eccedenti rispetto alla finalità. Se si richiedono dati per inviare un prodotto acquistato online è eccedente chiedere informazioni sull’attività sportiva praticata o sui luoghi in cui si trascorrono le vacanze.
I dati devono essere esatti e aggiornati.
Il trattamento deve avvenire per lo stretto tempo necessario a svolgere l’attività per cui sono richiesti, salvo che la normativa nazionale non preveda un tempo più lungo.
Principio fondamentale nel trattamento dei dati è che esso deve avvenire con una adeguata sicurezza. Per sicurezza si intende la capacità di una rete o di un sistema informatico di resistere ad un evento imprevisto anche doloso che possa compromettere i dati.
Prima di iniziare un trattamento è quindi necessario effettuare la Valutazione d’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) per comprendere quali sono i rischi e come si possono evitare.
Nel caso in cui ci si renda conto che i rischi sono alti e non si riesce a contenerli, può essere necessario consultare in via preventiva l’Autorità di controllo.
La sicurezza è un requisito fondamentale perché possa avvenire il trasferimento di dati tra aziende dello stesso gruppo e affinché possano essere approvate le Binding Corporate Rules (BCR).