Il trattamento dei dati personali è un’attività per sua natura “pericolosa”, che comporta rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Per questo motivo le imprese e le Pubbliche Amministrazione dovrebbero trattare dati personali solo se le finalità dei trattamenti non sono ragionevolmente conseguibili con altri mezzi. Quindi, l’organizzazione pubblica o privata che ravvisi la necessità di eseguire detti trattamenti per la realizzazione degli obiettivi di business o le finalità determinate dalla legge[1], deve processare e conservare i dati personali in modo strettamente proporzionato agli scopi per i quali vengono raccolti.
Intorno a questo paradigma ruotano i principi fondamentali fissati dall’art. 5, paragrafo 1 GDPR e, in particolare, l’obbligo di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario[2].
Recentemente, proprio in relazione a quest’obbligo, il Garante Italiano ha irrogato una rilevante sanzione pecuniaria a una società che, tra l’altro, non aveva provveduto “a definire (e conseguentemente a trasferire all’interno dei documenti la cui predisposizione costituisce un obbligo per il titolare in base al GDPR) un quadro chiaro e coerente dei termini di conservazione dei dati personali riferiti ai lavoratori dipendenti dalla stessa società”[3].
Con questo provvedimento, il Garante ha chiaramente indicato a tutti i titolari del trattamento la necessità di definire una procedura di data retention per gestire la conservazione dei dati personali degli interessati.
Per costruire una buona procedura di data retention, i dati personali devono essere:
- individuati mediante una mappatura;
- classificati ed etichettati;
- gestiti;
- cancellati/anonimizzati
Data retention, tra regole privacy e incongruenze normative: quali conseguenze
Indice degli argomenti
La mappatura dei dati personali
Per definire un’efficace procedura, occorre partire dal censimento dei dati personali trattati dall’organizzazione, la c.d. “data mapping” o mappatura dei dati.
È necessario individuare tutti i dati personali che vengono raccolti e le finalità per le quali vengono processati. Si tratta, in pratica, di un’attività – svolta in modo più approfondito – analoga a quella sviluppata per predisporre il registro dei trattamenti, importante strumento di accountability, che deve riportare come items obbligatori anche le categorie di dati personali trattati nonché, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati[4].
Classificazione ed etichettatura dei dati personali
I conoscitori della norma tecnica ISO 27001:2013 sanno bene che per garantire la confidenzialità è utile classificare, etichettare e gestire le informazioni secondo un determinato disegno che preveda diversi livelli di accessibilità/disponibilità (non ristretta – ristretta – confidenziale – segreta – Top) per rendere massimo il livello di attendibilità/affidabilità (il c.d. Trustworthiness).
Lo stesso meccanismo può utilmente essere applicato alla gestione della data retention. Ogni titolare dovrebbe classificare ed etichettare – con appositi metadati – i dati personali secondo la loro funzione intesa come risultante della finalità e della base giuridica del relativo trattamento. Quindi, i.e. per finalità di profilazione e marketing sulla base del consenso o per gestire un rapporto di lavoro sulla base del legittimo interesse e via dicendo.
In pratica, occorre “taggare” i dati per poterli gestire ai fini della conservazione. Sarà così più agevole individuare i tempi di conservazione delle diverse tipologie di dati in relazione a ciascuno degli scopi in concreto perseguiti, evitando il riferimento “a blocchi” di fasce temporali omogenee che in più occasioni hanno determinato pesanti sanzioni pecuniarie a carico di rilevanti imprese[5].
È bene evidenziare che questo accorgimento è evidentemente funzionale non solo alla conservazione, ma anche alla cura della qualità dei dati (esattezza, integrità e riservatezza).
Determinazione del periodo di conservazione dei dati personali
Il GDPR non fissa i criteri per determinare il periodo di conservazione dei dati personali ma prescrive comunque al titolare di indicarli nelle informative.
Spetta quindi allo stesso titolare in applicazione del principio di accountability fissare i parametri per determinare il periodo di conservazione dei dati attraverso una attenta analisi di contesto e l’applicazione dei sempre validi “soft-criteria” del buon senso e della ragionevolezza.
I criteri qui evidenziati sono direttamente collegati al “meccanismo di etichettatura” precedentemente indicato.
Occorre preliminarmente considerare che, in generale, i dati personali devono essere cancellati/anonimizzati nel momento in cui:
- sono state conseguite le finalità del relativo trattamento (fatta salva la conservazione per periodi più lunghi per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, a determinate condizioni)[6];
- siano stati raccolti per finalità indeterminate o illegittime o risultino inesatti, non aggiornati o, ancora, eccedenti rispetto alle stesse finalità [7];
- si verificano le condizioni previste da leggi che prescrivono limiti minimi o massimi di conservazione;
- viene meno la base giuridica che giustifica il relativo trattamento;
- l’interessato chiede di esercitare il diritto alla cancellazione ai sensi dell’art. 17 GDPR.
Ai fini della predisposizione di una procedura, queste condizioni vanno incrociate con le “funzioni etichettate” dei dati personali e combinate con l’attribuzione di ruoli e responsabilità all’interno del modello organizzativo dell’impresa o della Pubblica Amministrazione.
Ad esempio: in relazione a specifici obblighi legali che prescrivono limiti minimi o massimi di conservazione bisognerà “taggare” i dati personali oggetto della disposizione normativa attribuendone la gestione al “Process Owner” interessato. Così, e.g., i dati necessari a perseguire la finalità di fatturazione possono essere conservati, ai sensi dell’art. 2220 del codice civile, per 10 anni. In questo caso, il responsabile della contabilità direzionale potrà attribuire ad un suo collaboratore il compito di distruggere tale specifica documentazione che sia conservata da dieci anni.
Quando invece nell’Ordinamento non vi è un preciso riferimento normativo, sarà necessario determinare caso per caso quanto debba durare la conservazione, stabilendo termini congrui e strettamente proporzionati alle finalità da raggiungere.
Così, ad esempio, la data retention nell’attività di marketing diretto – che è basato, salvo particolari eccezioni[8], sul consenso – sarà temporalmente collegata alla validità dello stesso consenso, indipendentemente dal tempo trascorso e finché questo non venga revocato dall’interessato[9].
Utili indicazioni al riguardo vengono anche dall’European Data Protection Board (EDPB) che al n. 110 delle Linee Guida 5/2020 chiariscono che “Non esiste un limite di tempo specifico nel GDPR per la durata del consenso. La durata del consenso dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se le operazioni di trattamento cambiano o evolvono notevolmente, il consenso originario non è più valido. In tal caso, è necessario ottenere un nuovo consenso”.
Un importante criterio, di semplice individuazione e applicazione, è quello connesso all’esercizio del citato diritto degli interessati alla cancellazione previsto dall’art. 17 GDPR nei casi in cui:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato abbia revocato il consenso su cui si basava il trattamento e non sussistano altri validi fondamenti giuridici per il trattamento;
- l’interessato si sia opposto al trattamento e non sussista alcun motivo legittimo prevalente per procedere al trattamento, oppure si sia opposto al trattamento eseguito per finalità di marketing;
- i dati personali siano stati trattati illecitamente;
- i dati personali debbano essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.
Al riguardo, soprattutto le Pubbliche Amministrazioni devono tenere ben presente che gli interessati non possono esercitare il diritto alla cancellazione quando il trattamento dei loro dati personali è necessario per l’adempimento di un obbligo giuridico cui è soggetto il titolare o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito lo stesso titolare[10].
Un altro utile criterio per determinare la data retention consiste nell’analisi del ciclo di vita dei prodotti o dei servizi generati dai processi aziendali in cui “girano” i dati personali.
Molto utile alla gestione della conservazione dei dati è anche la concreta ed effettiva possibilità offerta agli interessati di eliminare direttamente i dati personali da loro caricati su un account personale in fase di registrazione.
Documentazione delle scelte e delle linee di azione
In applicazione del generale principio di accountability, quando il titolare determina il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo, deve contestualmente predisporre, secondo precise indicazioni del Garante, un’adeguata documentazione atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali[11].
Anzi, più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione[12].
Per garantire compliance, correttezza e trasparenza, i parametri della “data retention” vanno inoltre sempre riportati:
- in tutte le informative fornite agli interessati per tutti i trattamenti di dati personali;
- sul registro dei trattamenti;
- nei contratti che vincolano gli eventuali responsabili del trattamento, in linea con quanto prescritto dall’art. 28 paragrafo 3, lettere a) e g) del GDPR;
- negli accordi interni tra “contitolari”, nell’ambito delle rispettive responsabilità.
Eliminazione o anonimizzazione
Al termine del prefissato periodo di conservazione il dato personale deve essere eliminato o anonimizzato qualora l’impresa o la P.A. intenda continuare a sfruttare il valore del dato stesso per allenare i modelli di apprendimento automatico su cui si basa l’intelligenza artificiale.
Se si vuole procedere all’eliminazione ed i dati sono registrati su supporto cartaceo, bisogna effettuare una “distruzione”. In genere si utilizzano apposite macchine “trita-documenti”.
Nel caso in cui il dato da eliminare sia registrato su un supporto digitale è consigliabile utilizzare specifici applicativi che svolgono la stessa funzione del noto applicativo “Eraser”. Bisognerà aver cura di eliminare anche lo stesso dato eventualmente presente in area di backup. Qualora non si disponga di specifici applicativi si potrà procedere alla sovrascrittura dei files.
Stesso effetto dell’eliminazione si ha con l’anonimizzazione del dato. Infatti il Considerando 26 del GDPR sancisce che i principi di protezione dei dati non si applicano a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Per una conoscenza più puntuale dell’argomento, si rinvia alla lettura del Parere 05/2014 (WP 216) adottato dal WP29 il 10 aprile 2014 che descrive le principali tecniche di anonimizzazione, ossia la randomizzazione e la generalizzazione[13], illustrando i principi, i punti di forza e di debolezza, nonché gli errori e gli insuccessi comuni connessi all’impiego di ciascuna tecnica.
Miglioramento continuo
La procedura di data retention è una delle misure tecniche e organizzative che il titolare deve mettere in atto per garantire, ed essere in grado di dimostrare, che i trattamenti sono eseguiti in modo conforme al GDPR.
Proprio per garantire una costante conformità, queste misure – compresa la procedura di data retention – devono essere, qualora necessario, riesaminate ed aggiornate[14] seguendo il Ciclo Di Deming : i.e.: Plan (pianificare) – Do (fare) – Check (controllare/verificare) – Act (porre in essere).
NOTE
Art.1 Legge 241/1990. ↑
Vds. Considerando 39 GDPR. ↑
Provv. GPDP n. 234 del 10 giugno 2021. ↑
Art. 30, par.1, lettera f) GDPR. ↑
Vds. ad esempio Provvedimenti GPDP n. 234 del 10 giugno 2021 e n.8 del 9 gennaio 2020. ↑
Art.5, par.1, lettera e) GDPR. ↑
Art.5, par.1, lettere b), c) e d) GDPR. ↑
Vds. Art. 130, comma 4, D.Lgs. 196/2003 ↑
Vds. Provv GPDP n. 181 del 15 ottobre 2020. ↑
Art.17, par.3, lettera b) GDPR. ↑
Provvedimento GPDP n. 87 del 25 febbraio 2021. ↑
Così testualmente, § 121 Linee Guida EDPB 3/2019 ↑
In particolare, il parere esamina l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità e la t-vicinanza. ↑
Art. 24, par.1, GDPR. ↑