Prendendo atto delle recenti (di fine 2021), molto discutibili (e discusse) modifiche all'art. 2-ter del D. Lgs. 196/2003 e dei poteri di controllo che la legge attribuisce agli enti locali sulle società partecipate (art. 147-quater, TUEL), il problema della individuazione di quanti e quali dati personali debbano essere comunicati/trasmessi è legato alla tipologia di informazioni necessarie a garantire il controllo sulla gestione delle società partecipate come richiesto dalla legge. Problema che dovrebbe (o avrebbe dovuto) essere risolto a monte dall'ente locale (o dagli enti locali) con la preliminare progettazione/definizione di un sistema informativo e/o di controlli, comprensivo degli aspetti legati alla protezione dei dati personali ed alle operazioni di trattamento in una ottica di conformità, in particolare, ai principi/criteri dettati dagli artt. 5 e 25. In modo da acquisire, se del caso, sempre e soltanto i dati strettamente necessari alla/alle finalità del trattamento.
Laddove tutto questo non fosse al momento realizzato, si dovrebbe comunque verificare (da parte della società partecipata, anche nel confronto con l'ente) se determinate richieste di informazioni possano essere soddisfatte, per esempio, inviando dati aggregati piuttosto che insiemi di informazioni personali. Così come possono essere definite altre misure tese a minimizzare, ridurre all'essenziale l'impiego di dati personali.
Tra l'altro è verosimile ritenere che ai fini del controllo sul rispetto delle disposizioni di legge, sul raggiungimento degli obiettivi del servizio, eccetera, una simile impostazione possa risultare pienamente rispondente, sufficiente/adeguata e corretta proprio dal punto di vista gestionale e amministrativo.
