Quando si può dire che il trattamento dei dati “secondario”, per cui non si è richiesto uno specifico consenso, ha finalità strettamente legate al trattamento dei dati per cui il consenso è invece stato richiesto? Quindi il consenso non è necessario per il principio di compatibilità tra finalità?

La tematica è stata affrontata dalla Corte di Giustizia, in relazione all’art. 5 del GDPR, relativo alla limitazione delle finalità e di limitazione della conservazione dei dati.

Il GDPR fornisce alcune casistiche per cui si verifica la compatibilità tra finalità. L’elenco riportato all’art. 6, 4° comma è esemplificativo e non esaustivo.

Sta sicuramente al titolare del trattamento dimostrare la compatibilità tra finalità dei trattamenti.

La questione non è mai stata presa in considerazione. Ecco perché la Corte di Giustizia ha voluto esprimere le sue considerazioni in merito, nella causa C-77/21:

In questo caso ci si chiede se la registrazione e la conservazione, in una banca dati di nuova creazione – che serviva in via provvisoria per fare dei test – di dati personali conservati in un’altra banca dati (dello stesso titolare del trattamento) costituisca un “ulteriore trattamento” di tali dati.

Il titolare del trattamento, fornitore di servizi internet, aveva creato una seconda banca dati perché, a causa di un guasto tecnico ai server centrali, aveva bisogno della copia di dati personali dei propri utenti inizialmente raccolti, al fine di gestire la conclusione e l’esecuzione dei contratti di abbonamento.

Il motivo del ricorso alla Corte è che la seconda banca dati ha subito un attacco hacker, quindi il titolare del trattamento ha fatto segnalazione al Garante del suo Paese, l’Ungheria.

Quest’ultimo ha comminato una sanzione al titolare del trattamento, in quanto avrebbe conservato illegittimamente la banca dati di test una volta esaurita la finalità per la quale era stata creata.

La tematica della compatibilità emerge perché il Garante Ungherese interpella la Corte sia in relazione al principio di limitazione dei dati sia in relazione al principio di compatibilità.

La Corte in merito al principio di compatibilità chiarisce che affinché si realizzi sono necessari:

• nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale dei dati personali (in questo caso per aderire ad un abbonamento) e l’ulteriore trattamento di tali dati (per piattaforma test)
• assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli abbonati quanto all’ulteriore utilizzo dei loro dati.

In questo caso, secondo la Corte, il principio di compatibilità tra finalità dei trattamenti si realizza. Infatti la realizzazione di test e la correzione di errori riguardanti la banca dati degli abbonati presentano un nesso concreto con l’esecuzione dei contratti di abbonamento dei clienti privati, “in quanto siffatti errori possono essere dannosi per la fornitura del servizio contrattualmente previsto, e per la quale i dati sono stati inizialmente raccolti”. I giudici aggiungono inoltre che “un siffatto trattamento non si discosta dalle legittime aspettative di tali clienti quanto all’ulteriore utilizzo dei loro dati personali”.