GDPR E DATA RETENTION

Il GDPR descrive in maniera netta il periodo di conservazione, ovvero di data retention, dei dati personali, che in nessun caso possono essere trattenuti oltre quanto previsto.
Nell'articolo ti spieghiamo con esattezza cos’è il periodo di data retention e quanto il GDPR prevede che sia nei diversi casi.

DATA RETENTION: COSA SI INTENDE PER PERIODO DI CONSERVAZIONE

Quando si parla di Data Retention si fa riferimento al periodo di conservazione dei dati personali, che è considerata informazione essenziale dalle norme del GDPR.

L’imposizione di uno specifico periodo di conservazione dei dati, nasce al fine di tutelare la persona interessata e per permettere allo stesso, che sottoscrive un contratto o che comunque rilasci i propri dati per uno specifico scopo, a non rimanere registrato per un tempo superiore a quello necessario all’azienda o ente a portare al termine lo scopo per il quale vengono richiesti.

Il tempo conservativo dei dati, consente di effettuare una valutazione più attenta sia circa i criteri di conservazione per il periodo utile sia quelli per la corretta cancellazione dai propri archivi e registri.

Definire il periodo di conservazione dei dati personali, quindi, è uno degli adempimenti richiesti dal GDPR ed è fondamentale per tutelare i soggetti interessati.

Il GDPR non definisce un termine per il trattamento dei dati, ma stabilisce quello che è il principio di limitazione del trattamento, i dati possono essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati acquisiti, salvo poi casi particolari e specifici che sono definiti dalla stessa normativa europea.

Ad oggi sono in vigore normative nazionali che spesso non sono propriamente in linea rispetto a quanto sancito dai principi della normativa europea sulla data retention.

Ciò si riscontra soprattutto in quelle norme che stabiliscono i tempi di conservazione dei tabulati telefonici per ragioni di carattere probatorio.

I fornitori di servizi telefonici, infatti, sono in possesso di dati personali importanti, quali il numero di telefono da cui è partita una chiamata e di quello che l’ha ricevuta, nonché la durata delle telefonate.

La Corte di Giustizia europea è intervenuta varia volte negli ultimi anni, con sentenze che costituiscono punti di riferimento fondamentali.

Il termine per la conservazione dei dati personali acquisiti, ad oggi, deve essere necessariamente definito, e la definizione non può essere lasciata al caso, in caso contrario si andrebbe incontro ad una violazione del principio di trasparenza nei confronti dell’interessato al trattamento.

La data retention va determinata in base alla quantità di dati trattati, alla tipologia e alle finalità per cui sono trattati.

Questa definizione dei termini deve essere fatta a priori ed è strettamente legata alle scelte relative ai mezzi con cui si conservano e cancellano i dati.

Di conseguenza vediamo come la data retention è strettamente legata alla privacy by design.

Le aziende spesso prestano poca attenzione a questo elemento, concentrandosi maggiormente sugli aspetti di salvataggio e backup dei dati, per non incorrere nel rischio di perdita degli stessi, e poco sulla loro cancellazione al termine del periodo stabilito.

Infatti, anche se in linea generale non sono stati stimati dei criteri di data retention validi per tutti, in quanto a seconda del singolo caso e finalità possono variare, è necessario che le aziende non trascurino questo dettaglio; infatti, il Garante per la Privacy di recente è intervenuto in diversi casi di inadempienza, con sanzioni peraltro molto pesanti.

DATA RETENTION: QUALI SONO I RIFERIMENTI NORMATIVI?

Il GDPR all’art 13, comma 2, lettera a) prevede che il titolare del trattamento debba sempre informare gli interessati circa il periodo di conservazione dei dati personali, se ciò non è possibile deve quantomeno indicare quali sono i criteri utilizzati per determinare tale periodo.

Inoltre, all’articolo 5 lettera e) sono stabiliti come i dati devono essere conservati “…in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)“.

Tale principio era già precedentemente previsto anche dalla normativa del Codice della privacy (D.Lgs. 196/2003) all’articolo 11 e riportato oggi all’interno del GDPR.

Tra l’altro la Corte di Giustizia EU si è più volte pronunciata in merito alla conservazione e al trattamento dei dati, anche in merito a quelli telefonici e telematici.

A oggi sono in tutto 5 le sentenze, dal 2014 al 2022, espresse in merito al tema della conservazione dei dati per finalità di prevenzione e repressione dei reati.

Nella prima sentenza del 2014, la Digital Rights, veniva dichiarata illegittima la Direttiva “Frattini” del 2006/24/CE, la quale disciplinava la conservazione e il trattamento dei dati personali contenuti nei tabulati telefonici a fini probatori.

La pronuncia, emessa tra l’altro prima dell’entrata in vigore del GDPR, dichiarava una violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.

Questa pronuncia stabilisce proprio quella che è la centralità del diritto alla protezione dei dati personali anche in un ambito in cui le limitazioni alle libertà possono essere maggiori e ammesse per esigenze d’interesse generale.

La pronuncia più recente della Corte di Giustizia risale allo scorso 4 aprile 2022 in cui si ribadisce che i governi degli Stati Membri non possono permettere la “conservazione generale e indiscriminata” dei dati di traffico e di localizzazione delle comunicazioni elettroniche.

Il GDPR definisce, quindi, qual è il principio di riferimento e quale la limitazione del trattamento, rimandandone l’applicazione concreta al titolare del trattamento che deve agire in base all’accountability.

Oggi questo principio vale anche per i dati trattati per finalità di marketing.

E quindi come deve regolarsi il titolare del trattamento?

DATA RETENTION: QUALI SONO I TEMPI DI CONSERVAZIONE?

Valutare correttamente l’estensione temporale di tale periodo è essenziale al fine di essere compliance col GDPR.

I dati generalmente possono essere conservati con vari aspetti e modalità. In linea generale, nel rispetto delle regole previste dal Garante e dal GDPR stesso, i dati possono essere archiviati o in moduli cartacei o elettronici, oppure in entrambi i modi.

I criteri da rispettare per la giusta conservazione dei dati, dovrà poi essere stabilita dall’azienda che opera il trattamento e in alcuni casi, qualora sia prevista la sua figura in azienda, è il DPO ad occuparsene.

Il tempo di conservazione dei dati personali va valutato sempre in relazione alla finalità del trattamento, di conseguenza per ogni diversa finalità possono corrispondere diversi termini.

Alcuni tempi sono stabiliti direttamente dalle leggi, quali ad esempio le norme per i fornitori di servizi telefonici o telematici o obblighi contrattuali, riguardanti i dati fiscali, altri sono, invece, stabiliti direttamente dal titolare.

Il Garante della privacy ha tuttavia emanato alcuni provvedimenti che possano supportare il titolare nella fissazione di detti termini di conservazione.

Anzitutto, è necessario dire che la durata del trattamento deve essere specificata sia nel registro dei trattamenti che nell’informativa privacy.

Ovvio dire che è da escludere un tempo di conservazione infinito, questo deve essere sempre limitato e deve essere necessariamente proporzionato alla finalità medesima.

Alcuni dati possono essere conservati per gli adempimenti relativi alla garanzia di un prodotto, o anche per tutelarsi in vista di possibili contenziosi.

In questo caso si si rifà ai termini di prescrizione dell’azione giudiziaria corrispondente, aumentati di un breve periodo correlati agli adempimenti necessari per il deposito atti giudiziari, ecc…

A fine trattamento il dato deve essere cancellato da tutti i supporti, compreso i backup, o anonimizzato alla scadenza del termine di conservazione.

Ad esempio, prendendo il caso di un’azienda che gestisce un ufficio di collocamento, che raccoglie i CV delle persone in cerca di lavoro, non potrebbe conservare i dati per 15 anni senza predisporre alcuna misura per aggiornare i CV, e questo perché il periodo di conservazione sarebbe sproporzionato rispetto allo scopo di trovare un impiego per una persona nel breve-medio termine.

Anche il fatto di non richiedere aggiornamenti dei Curriculum a intervalli regolari, inoltre, rende inutili alcune ricerche di lavoro dopo un certo periodo di tempo, si prenda ad esempio il caso di una persona che acquisisce nuove qualifiche.

È quindi sempre necessario valutare con attenzione il tempo di conservazione dei dati e soprattutto informarne il diretto interessato.

Ad esempio, possiamo fare riferimento al caso di Deliveroo Italy S.r.l. e del provvedimento emanato nei suoi confronti, il quale, tra le tante violazioni commesse, c’è quella legata alla dicitura dell’informativa in merito alla durata della conservazione dei dati dei dipendenti, la quale enunciava: “non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”.

A detta del Garante questa formula estremamente generica non rispettava il principio di trasparenza nei confronti degli interessati al trattamento ed infatti la Deliveroo Italy S.r.l. è stata sanzionata per 2,5 milioni di euro per contestazioni sulle informative in tema di conservazione e cancellazione dei dati personali.

La gestione dei dati e la loro conservazione, in maniera corretta, non può essere lasciata al caso se si vogliono evitare possibili multe o sanzioni, come previsto dal GDPR

Se anche tu hai necessità, per la tua attività, di rispettare quanto prescritto dal GDPR, contattaci subito.

Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.