La fonte dell’obbligo di cancellazione dei dati personali è, oggi, l’art. 5, paragrafo 1, lettera e) del GDPR, cioè la norma che detta il principio di limitazione della conservazione: «I dati sono […] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […]».
Non è però “colpa” del GDPR se i titolari non possono conservare in eterno i dati personali trattati: l’obbligo di cancellazione dei dati che non sono più necessari per il perseguimento delle finalità per le quali sono stati raccolti era già previsto dal Codice Privacy.
Il riferimento è all’art. 11, paragrafo 1, lettera e) del Codice Privacy (prima dell’abrogazione ex D.Lgs. 101/2018): «I dati personali oggetto di trattamento sono […] conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati»; ma si può ricordare anche l’art. 3 (del pari abrogato dal D.Lgs. 101/2018): «I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità».
Indice degli argomenti
Conservazione dei dati: differenza tra GDPR e Codice Privacy
C’è, però, una fondamentale differenza tra il GDPR e il Codice Privacy: l’obbligo di rendere subito noto agli interessati il termine di conservazione dei loro dati personali. Infatti, se il Codice Privacy consentiva al titolare del trattamento di scegliere se dichiarare o meno nell’informativa il tempo di conservazione dei dati, il GDPR elimina qualsiasi discrezionalità imponendo al titolare di indicare già nell’informativa anche «il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (art. 13, paragrafo 2, lettera a) del GDPR; nello stesso senso, art. 14, paragrafo 2, lettera a) del GDPR).
Ma come si determinano i tempi di conservazione dei dati personali?
Solo i dati necessari al perseguimento delle finalità della raccolta possono essere conservati.
Non esiste alcun manuale, alcun vademecum, che detti dei tempi certi di conservazione: non esiste, e non può esistere, perché i tempi di conservazione variano a seconda della specifica finalità del trattamento perseguita.
Infatti, i dati devono e possono essere conservati nella misura in cui, e fino a quando, sono necessari per raggiungere la finalità del trattamento per la quale sono stati raccolti: quindi, ad ogni finalità corrisponde un determinato termine di conservazione dei dati personali, variabile peraltro a seconda delle caratteristiche stesse del trattamento.
Uno stesso dato può anche essere trattato per più finalità: in questo caso, occorrerà adottare opportune misure per impedire che il dato venga trattato per una finalità diversa da quella per la quale viene conservato. Pensiamo ai dati identificativi e di contatto dei consumatori, e ipotizziamo che siano trattati per eseguire un contratto di compravendita, per adempiere agli obblighi legali connessi (in particolare, obblighi di garanzia e fiscali) e per fini di marketing: chiaramente la necessità di conservare i dati identificativi e di contatto per il tempo, tendenzialmente lungo, imposto dalla normativa fiscale non legittima, di per sé, la conservazione e, in generale, il trattamento dei medesimi dati per finalità di marketing per lo stesso, uguale, periodo.
In sostanza: avere dei dati nei propri database non significa poterli trattare per qualsiasi finalità.
Vale la pena conservare solo i dati necessari al perseguimento delle finalità della raccolta.
I dati sono una “copertina di Linus”: avere un database ricco ci fa sentire al sicuro; cancellare i dati ci spaventa, sia perché temiamo che possa compromettere le nostre esigenze di business, sia perché siamo schiavi del “non si sa mai”. Ma in realtà, sono solo scuse.
Ricordiamoci sempre il criterio per determinare i tempi di cancellazione: la necessità del dato per il raggiungimento della finalità del trattamento.
Se un dato è necessario, non si pone nemmeno il problema della cancellazione: finché ne ho effettivo bisogno per raggiungere le finalità del trattamento, posso conservarlo. Al contrario, se un dato non è necessario significa che non verrà usato per la finalità del trattamento per la quale è stato raccolto: e se non verrà usato, allora posso cancellarlo senza alcuna conseguenza negativa.
La difficoltà sta solo nel gestire i dati che potrebbero essere necessari. Il caso tipico è la tutela giudiziaria dei diritti: non posso sapere se avrò bisogno di quel dato, perché non posso sapere se mi faranno o meno causa. Il criterio indicato dal Garante per questa eventualità poggia sulla distinzione tra probabilità e possibilità: il dato può essere trattato e, quindi, conservato se l’esigenza di tutela è probabile, e non in caso di astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti (tra i provvedimenti più recenti sul tema, v. doc. web n. 8159221). Tradotto in termini pratici, significa che non c’è motivo di conservare i dati se il contratto è stato adempiuto esattamente e se non ci sono state contestazioni. E in ogni caso, resta comunque fermo il termine di conservazione costituito dalla prescrizione: difficilmente si potrà andare oltre e, ancor meno, pensare a una conservazione “in eterno”.
Determinazione dei tempi di conservazione
A seconda della specifica finalità del trattamento, i tempi di conservazione possono essere fissati dalla legge o rimessi alla scelta del titolare del trattamento.
Il primo è tipicamente il caso dei trattamenti eseguiti per finalità di esecuzione di un contratto, o per adempiere ad obblighi legali. I tempi di conservazione sono, in questo caso, facilmente determinabili, anche facendo rinvio alle disposizioni applicabili come, del resto, chiarito dal Garante nelle FAQ sui registri delle attività di trattamento pubblicate in data 8 ottobre 2018.
Il secondo caso è, ad esempio, quello dei trattamenti per fini di marketing. La scelta del titolare del trattamento dovrà essere adeguatamente documentata e motivata, del caso anche facendo rinvio ai provvedimenti del Garante che, se non aventi portata generale, possono comunque fornire utili elementi per valutare la congruità dei tempi di conservazione, e tenendo comunque presente che continuano ad applicarsi solo nella misura in cui sono compatibili con il GDPR e il D.Lgs. 101/2018 (v. art. 22 D.Lgs. 101/2018).
Un provvedimento, in particolare, veniva sempre ricordato quando si trattava di fissare i tempi di conservazione dei dati trattati a fini di marketing: quello sulle fidelity card (doc. web n. 1103045). Forse perché ha portata generale (non essendo stato adottato su istanza di un titolare del trattamento), o forse perché ha quantificato con precisione i tempi di conservazione: i limiti che ha fissato – 24 mesi dalla registrazione, per la finalità di marketing; 12 mesi dalla registrazione, per la finalità di profilazione – sono arrivati a costituire un vero e proprio punto di riferimento, se non altro per capire quando la conservazione rischiava di essere troppo lunga.
Difficile dire se questo provvedimento sia ancora applicabile: a chi sostiene che i tempi di conservazione indicati sono sufficientemente brevi da rispondere al principio di limitazione del trattamento, si può replicare che tempi di conservazione fissati rigidamente dal Garante mal si conciliano con il principio di responsabilizzazione o accountability (art. 5, paragrafo 2 del GDPR).
Come conservare i dati trattati per fini di marketing
Indipendentemente dalla permanenza o meno del provvedimento sulle fidelity card, viene da chiedersi cosa possa fare un titolare che manifesta l’esigenza di conservare i dati per il trattamento a fini di marketing per periodi superiori ai 24 mesi.
Nel vigore del Codice Privacy, la via da percorrere era tracciata dall’art. 17 del Codice, norma che prevedeva l’obbligo di sottoporre alla verifica preliminare del Garante il trattamento «dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare».
È stato proprio all’esito di un’istanza di verifica preliminare, che operatori del settore della moda hanno ottenuto la possibilità di conservare i dati personali trattati per fini di marketing per ben 7 o 10 anni (e.g. v. doc. web n. 2920245, doc. web. n. 2547834 e doc. web n. 2499354), e che operatori del settore automotive sono stati autorizzati alla conservazione dei dati per fini di marketing per 10 anni (e.g. v. 8998319).
Oggi (i.e. post GDPR e D.Lgs. 101/2018), l’istanza di verifica preliminare non è più prevista. In ragione del principio di responsabilizzazione, è il titolare a dover «valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell’art. 36 del Regolamento medesimo»: così si è espresso il Garante a chiusura dell’esame delle ultime istanze di verifica preliminare depositate in relazione all’allungamento dei tempi di conservazione dei dati (e.g. v. doc. web n. 8998319 e doc. web n. 8998339).
Quindi: la conservazione dei dati trattati per fini di marketing per periodi lunghi è possibile, purché la scelta del titolare sia giustificata e documentata e, in caso di rischio elevato per i diritti e le libertà delle persone fisiche, sia stata eseguita anche una valutazione d’impatto e, in presenza di un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, sia stato preventivamente consultato il Garante.
Gli stessi principi sono naturalmente applicabili in via generale, quindi anche a trattamenti che non sono svolti a fini di marketing: basti citare il caso dei dati raccolti da un impianto di videosorveglianza, la cui conservazione è stata limitata, con provvedimento generale del Garante, a 24 ore fino al massimo a una settimana (v. doc. web 1712680).
La decorrenza del termine di conservazione dei dati
Non basta fissare un termine per la conservazione dei dati: occorre anche indicare il momento dal quale tale termine inizia a decorrere. Deve trattarsi di un momento noto o facilmente conoscibile dall’interessato: diversamente, l’informazione sui tempi di conservazione non sarebbe trasparente ed efficace.
Il momento dal quale decorre il termine di conservazione dei dati è tutt’altro che banale: fissarlo con attenzione può addirittura aiutare a limitare lo stesso tempo di conservazione dei dati.
Prendiamo sempre il caso del trattamento dei dati di consumatori per fini di marketing.
Questi dati vengono raccolti nel contesto di una vendita o di una potenziale vendita. Trascorso un certo periodo di tempo da quel contatto, l’interesse del consumatore a ricevere comunicazioni commerciali di quel titolare non sarà verosimilmente più attuale e, da questa semplice considerazione, deriva l’inutilità dell’ulteriore conservazione del dato per il perseguimento della finalità del trattamento e, quindi, l’obbligo di cancellarlo.
Da qui, l’opportunità di far decorrere il termine di cancellazione dall’ultimo contatto con il consumatore, che può verosimilmente coincidere con l’ultimo acquisto.
Ma se il termine di conservazione decorre dall’ultimo acquisto, e non dal momento della raccolta del dato, può certamente servire allo scopo anche un termine di conservazione tendenzialmente breve.
Conservazione dei dati a lungo termine
E’ possibile conservare i dati per lungo termine solo in via eccezionale. Si tratta di periodi di archiviazione più lunghi perché di interesse storico, pubblico o scientifico. Per conservare i dati in questa maniera bisogna assicurarsi che essi siano cifrati o quantomeno anonimizzati.
Principio di limitazione del trattamento e diritto alla cancellazione dei dati
Ogni sforzo del titolare del trattamento per determinare i tempi di conservazione dei dati nulla può, chiaramente, nel caso di esercizio del diritto alla cancellazione (o diritto all’oblio) da parte degli interessati.
Il diritto alla cancellazione prevale sull’interesse alla conservazione: nei casi previsti, se un interessato chiede la cancellazione dei propri dati il titolare deve procedere senza ingiustificato ritardo, e quindi senza riservarsi di continuare a trattare il dato sino alla scadenza originariamente fissata, prossima o meno che sia.
