I personal data sono una questione delicata. Perché, di mezzo, c’è la privacy delle persone, assolutamente da tutelare. Ma anche la necessità di trattare le informazioni per l’erogazione o la fornitura di un servizio.
La questione della conservazione dei dati personali è ancora aperta. E lo sarà, probabilmente, ancora per diverso tempo. Perché, nonostante alcuni recenti interventi normativi come il più che noto GDPR, le lacune sono tante. Però, pur in questo clima di (parziale) incertezza e provvisorietà, è comunque possibile fornire delle informazioni che permettano, ad aziende ed enti pubblici, di gestire il data retention nel modo migliore.
Temi:
- Dati personali: una definizione (troppo) ampia
- Data retention: ecco la vera questione
- GDPR: poca chiarezza sul “pubblico interesse”
- 3 modi per gestire la conservazione dei dati personali
Dati personali: una definizione (troppo) ampia
Come si può leggere sul sito del Garante per la protezione dei dati personali (Garanteprivacy.it):
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…
A complicare ulteriormente la situazione, interviene l’articolo 2, comma 1 del Regolamento Ue 2016/679, sintetizzato dall’acronimo GDPR (General data protection regulation)
Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Il GDPR “rincara la dose” in due modi:
- Fa riferimento alle modalità di gestione dei dati personali (automatizzato, semi-automatizzato, non automatizzato);
- Amplia il concetto di archivio: in pratica, arriva a comprendere qualsiasi luogo o sistema il quale contenga, in qualsiasi forma, dati che, in un qualunque modo, possano ricondurre a una specifica persona.
Questa dell’ambito di applicazione del concetto di dato personale è un aspetto da tenere sempre bene in considerazione. Al riguardo, non c’è una “soluzione” in senso stretto ma occorre adottare specifiche misure per una corretta gestione.
Data retention: ecco la vera questione
Il nodo gordiano sta qui, in queste due semplici parole che, però, sono cariche di significati e implicazioni. La data retention, in senso stretto, deve essere intesa come il periodo (minimo, necessario od obbligatorio) per la conservazione dei dati personali.
Aziende ed enti hanno l’esigenza di stabilire un tempo di conservazione dei dati.
Esatto: si tratta di un’esigenza. Dovuta a diversi motivi. Che comprendono il “banale” svolgimento delle attività quotidiane, così come l’erogazione di un servizio che sia efficiente ed efficace per i cittadini o per i clienti.
Allo stesso modo, le aziende hanno la necessità di cancellare i dati, perché la loro retention diventa, con il tempo, onerosa.
Quest’ultimo punto non deve essere visto come una contraddizione. La conservazione dei dati ha un costo, sia in termini di lavoro (risorse dedicate) sia in termini economici (sistemi/archivi). Se la data retention non è più utile all’ente o all’azienda, le informazioni vanno cancellate.
GDPR: poca chiarezza sul “pubblico interesse”
Il GDPR, in linea di massima, ha introdotto norme più precise e stringenti per la gestione dei dati personali e, soprattutto, ha dato al privato cittadino più diritti come chiedere la cancellazione dei dati personali. Fin qui, nessun problema.
Il discorso cambia quando si affronta la questione riportata proprio nel testo del General data protection regulation: l’archiviazione per pubblico interesse.
- Per “ragioni di pubblico interesse”, i dati possono essere conservati per periodi più lunghi rispetto a quelli previsti dalla normativa o da specifici accordi;
- Ma il concetto di “pubblico interesse” non è ben specificato, prestandosi quindi a una miriade di possibili (e probabilmente contradditorie) interpretazioni.
Approfondimento: GDPR e gestione degli archivi cartacei e digitali: come adeguarsi alla normativa
3 modi per gestire la conservazione dei dati personali
E quindi: come gestire al meglio la conservazione dei dati personali in un panorama così complesso e complicato, frammentato, mutevole, sempre in evoluzione? Un’azienda o un ente può ricorrere a queste tre soluzioni.
1. Chiarire i tempi di trattamento dei dati
Nonostante il “problema” del pubblico interesse, l’articolo 5, comma 1, lettera e del GDPR riporta che i dati personali devono essere:
Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Il primo consiglio, quindi, è ben specifico: chiarire sempre, con il soggetto interessato, per quanto tempo i suoi dati personali saranno trattati e, ovviamente, cancellarli subito una volta che tale tempo sarà trascorso o sarà venuta meno la finalità per il loro trattamento.
2. Rispettare il tempo di conservazione dei documenti
Anche i documenti contengono dei dati personali e, in quanto tali, sono sottoposti alle prescrizioni dal GDPR. Però, le singole normative nazionali possono dare una preziosa mano. Infatti, la legge stabilisce che specifiche tipologie di documenti debbano essere conservate per altrettanto specifici periodi di tempo.
Approfondimento: La conservazione dei documenti: per quanto tempo, quali sono, come fare
In altre parole, il tempo di conservazione dei documenti stabilito per legge “viene prima” delle indicazioni stabilite dal GDPR.
3. Adottare una data retention policy
Ogni organizzazione, ente o azienda che sia, può dotarsi di una data retention policy o politica di conservazione dei dati. In questo documento, da condividere sia internamente sia esternamente, dovrebbero essere riportati:
- Le modalità e i tempi (minimi e massimi) del trattamento dei dati personali;
- Il sistema di controllo adottato e le risorse preposte a utilizzarlo (e con quale periodicità);
- Le procedure per la cancellazione dei dati, sia in formato digitale sia in formato cartaceo;
- Le modalità di comunicazione;
- Le eventuali sanzioni in caso di violazione/inadempienza.
Il tutto, ovviamente, in base alle caratteristiche specifiche dell’ente o dell’azienda.