Enti e imprese ancora non riescono ad adeguarsi alle indicazioni presenti nel testo. Ma si tratta di una necessità sempre più pressante. Così come è imprescindibile la tutela dei diritti delle persone.
La protezione dei dati personali è un diritto fondamentale di qualsiasi persona. Un diritto che è stato regolamentato in maniera più rigorosa dal GDPR. Le novità introdotte sono diverse. E tanto nel settore pubblico quanto nel settore privato occorre adeguarsi alla normativa.
Temi
- Dati personali: una definizione
- Per quanto tempo possono essere conservati i dati
- Diritto all’oblio e archiviazione per pubblico interesse
- GDPR e archivi
Dati personali: una definizione
La definizione viene data dal Garante per la protezione dei dati personali:
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…
La definizione, per quanto puntuale, riguarda comunque un ambito particolarmente ampio. Più nel dettaglio, vengono identificate tre tipologie di dati che, per loro natura specifica, possono essere considerate particolarmente importanti:
Tipologia | Esempi |
Dati che permettono l’identificazione diretta o indiretta | Nome, cognome, foto/immagini, codice fiscale, indirizzo, indirizzo IP, numero di targa. |
Dati rientranti in particolari categorie | Origine razziale, orientamento religioso, salute, vita sessuale, convinzioni politiche, appartenenza sindacale, dati genetici, dati biometrici. |
Dati giudiziari | Condanne passate in giudicato, obbligo o divieto di soggiorno, ingiunzioni, misure alternative di detenzione. |
Per quanto tempo possono essere conservati i dati
L’articolo 4, comma 2 del GDPR definisce il trattamento dei dati personali come:
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Acconsentire al trattamento dei dati personali permette al soggetto al quale si è concesso il permesso di compiere una o più di queste operazioni. Per quanto tempo, è sempre il GDPR a definirlo, questa volta nel comma 1, lettera E dell’articolo 5:
[I dati devono essere] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato.
Questo passaggio è fondamentale. In altre parole, il tempo massimo di trattamento dei dati personali viene stabilito dall’ente o dal soggetto che ne chiede l’autorizzazione al diretto interessato che deve essere congruo con le finalità dichiarate.
Diritto all’oblio e archiviazione per pubblico interesse
Non è un caso se il comma 1, lettera E dell’articolo 5 è considerato un po’ il vero fulcro del GDPR. Introduce, infatti, due concetti, a loro modo, tanto innovativi quando delicati. E sono proprio i due concetti che, dal punto di vista dell’archiviazione e della conservazione dei dati, aprono gli scenari più interessanti e ancora da definire.
Diritto all’oblio
“Diritto all’oblio” è il nome con il quale è più conosciuto, nel testo del GDPR il riferimento specifico è diritto alla cancellazione. Che viene definito in maniera più puntuale nell’articolo 17:
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.
La cancellazione dei dati personali avviene se:
- Sono scaduti i termini del servizio per il quale era richiesto il trattamento dei dati personali;
- L’interessato revoca il consenso o si oppone al trattamento (secondo le modalità e le condizioni stabilite negli articoli 6, 9 e 21);
- I dati personali sono stati trattati in maniera illecita;
- I dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Quindi, benché i tempi possano essere stabiliti da chi richiede l’autorizzazione al trattamento, il soggetto interessato ha a disposizione tutta una serie di strumenti che gli permettono di tutelare i dati sensibili che lo riguardano.
Archiviazione per pubblico interesse
Uno dei punti più controversi del GDPR è quello riguardante il concetto di pubblico interesse, che viene ripreso anche in altri articoli, in particolare il 49:
Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati.
La questione è semplice: il concetto di pubblico interesse non è completamente definito e può lasciare adito a interpretazioni.
GDPR e archivi
In che modo il GDPR riguarda gli archivi? In realtà, il Regolamento Ue 2016/679 ha e avrà sempre di più un profondo impatto nella gestione documentale, sia cartacea sia digitale.
- Il concetto di archivio. Innanzitutto, il concetto di archivio si amplia, i documenti non sono più i soli item che possono essere archiviati: si parla anche di archivi di numeri, di indirizzi, eccetera. I quali devono essere gestiti in maniera conforme alle norme del GDPR.
- La protezione dei dati. Il GDPR impone che quanto previsto nei singoli articoli si applichi, indistintamente, a tutti i tipi di archivi, anche a quelli “tradizionali” che contengono documenti e atti.
Le regole del GDPR si applicano anche agli archivi documentali
Per adeguarsi, ci si può rivolgere agli esperti della gestione documentale.