Il diritto alla cancellazione dei dati personali è disciplinato dall’articolo 17 del Regolamento UE 2016/679 (GDPR), il quale prevede che l’interessato abbia il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo se sussiste uno dei seguenti motivi:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento, se non esiste alcun altro motivo legittimo per il trattamento;
- l’interessato si oppone al trattamento e non sussiste alcun ulteriore motivo legittimo per procedere il trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione ai minori.
È consentito tuttavia ai titolari del trattamento di continuare ad elaborare i dati personali, nonostante la richiesta di cancellazione, se gli stessi siano comunque necessari per gli scopi per i quali sono stati raccolti e il titolare ha ancora una base giuridica per il trattamento degli stessi. Di conseguenza, il titolare potrà continuare a trattare i dati personali quando il trattamento è necessario per i seguenti scopi:
- per l’esercizio del diritto alla libertà di espressione e di informazione;
- per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- per motivi di interesse pubblico nel settore della sanità pubblica;
- a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui la cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
- per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Una volta individuati i casi in cui il titolare del trattamento (e di conseguenza anche il responsabile del trattamento e gli altri soggetti coinvolti nel trattamento dei dati) dovranno cancellare i dati personali dei soggetti interessati, occorre capire quali accorgimenti si possano adottare nella pratica per procedere alla cancellazione dei suddetti dati.
Trattandosi di una questione delicata, è opportuno in primo luogo che l’azienda predisponga una procedura in cui vengano indicati i passi da seguire per cancellare i dati personali. A tal proposito, occorre distinguere tra i casi in cui la cancellazione avviene a seguito di una richiesta di un soggetto interessato e i casi in cui ciò avviene a seguito dello scadere del termine di conservazione.
Definito il flusso da seguire per la cancellazione dei dati, il titolare dovrà garantire l’effettiva cancellazione. Sarà quindi importante prevedere, con l’ausilio del Data Protection Officer, un controllo periodico dei dati cancellati, in modo da essere certi che non siano più presenti all’interno degli archivi aziendali.
Resta inteso che per procedere in modo adeguato alla cancellazione dei dati, gli stessi dovranno essere archiviati in modo corretto e ordinato, sia per quanto riguarda i documenti digitali che quelli cartacei. Diversamente vi potrebbe essere il rischio che i dati non vengano cancellati da tutti gli archivi utilizzati dal titolare, ma permangano all’interno di alcuni sistemi aziendali senza che probabilmente nemmeno il titolare si accorga di ciò.
Indice degli argomenti
Cancellazione dei dati su richiesta dei soggetti interessati
Come anticipato sopra, l’articolo 17 del GDPR prevede la facoltà dei soggetti interessati di richiedere la cancellazione dei propri dati personali.
In tal caso il titolare del trattamento avrà l’obbligo, fatti salvi i casi in cui i dati non potranno essere cancellati secondo le disposizioni dell’articolo 17, paragrafo 3, del GDPR, di procedere alla cancellazione dei dati, inviandone poi conferma ai soggetti interessati.
Una volta esercitato il diritto di cancellazione, è opportuno che il titolare coinvolga il Data Protection Officer o il proprio ufficio privacy al fine di verificare se tale richiesta sia legittima e se si possa quindi procedere alla cancellazione dei dati. In caso di analisi positiva della richiesta, il titolare dovrà procedere, attraverso un proprio referente interno incaricato di ciò, alla cancellazione dei dati da tutti i sistemi e/o archivi aziendali in cui gli stessi sono presenti, informando anche gli eventuali responsabili del trattamento e chiedendo loro di procedere alla cancellazione dei dati da essi trattati.
Come accennato nel paragrafo precedente, per ottemperare in modo corretto a tale richiesta, il titolare dovrà avere chiaro fin da subito quali siano i sistemi informatici e archivi cartacei in cui i dati sono conservati e per fare ciò è importante che il registro dei trattamenti sia tenuto costantemente aggiornato, con l’indicazione di tutti i sistemi sui quali siano presenti i dati personali dei soggetti interessati.
Ad esempio, qualora il diritto di cancellazione sia esercitato da un cliente di un sito e-commerce, è probabile che i suoi dati siano presenti in vari database aziendali e, di conseguenza, il titolare dovrà essere certo di aver cancellato i dati da tutti i suddetti database prima di darne conferma al proprio cliente.
Come procedere al termine del periodo di conservazione dei dati
Il Regolamento UE 2016/679 ribadisce in vari punti il principio di limitazione dei tempi di conservazione, obbligando il titolare ad “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (Considerando 39) e indicando che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” (articolo 5, lettera e).
Il periodo di conservazione dei dati personali, o i criteri utilizzati per determinare tale periodo, dovranno inoltre essere indicati nell’informativa rilasciata ai soggetti interessati (articolo 13); e dovranno essere documentati all’interno del registro dei trattamenti (articolo 30).
Una volta definito il periodo di conservazione, il problema sarà quello di attuare i termini stabiliti, quindi procedere all’effettiva cancellazione dei dati. Questi ultimi costituiscono infatti un patrimonio aziendale e quindi le aziende si trovano spesso in difficoltà nel momento in i cui i dati devono essere cancellati.
In primo luogo, andrà predisposta una procedura, che oltre ad indicare quali siano i termini di conservazione di tutte le categorie di dati personali trattati dell’azienda, dovrà definire come comportarsi al termine del periodo di conservazione.
Uno degli interrogativi che spesso si pongono le aziende riguarda il fatto che la cancellazione dei dati contenuti in archivi digitali vada impostata in modo automatico sui sistemi informatici, che quindi andranno a cancellare il dato al termine del periodo di conservazione, oppure se sia meglio procedere in modo manuale, adoperandosi per cancellare i dati al termine di tale periodo. È ovvio che il quesito non si pone per i documenti cartacei, che andranno eliminati in modo manuale.
Le suddette modalità di cancellazione presentano dei pro e dei contro.
Da un lato la cancellazione in modo automatico consentirà di procedere in modo più rapido e sarà probabilmente più sicura, evitando errori umani o dimenticanze, ma non consentirà all’azienda di avere il pieno controllo dei dati da cancellare e di essere sempre a conoscenza di quali dati sono stati cancellati.
Tale impostazione potrebbe quindi incontrare delle divergenze con il business, che è spesso poco avvezzo ad un cancellazione incontrollata dei propri dati.
Per quanto attiene alla cancellazione manuale dei dati personali invece, occorrerà predisporre una struttura più complessa al fine di evitare errori, individuando un referente interno (probabilmente facente parte della direzione IT) che si occupi dell’effettiva cancellazione dei dati e prevedendo come dovrà comportarsi lo stesso al termine del periodo di conservazione.
Nei casi di dati trattati ai fini di marketing, si potrebbe ad esempio prevedere l’invio di una comunicazione di “reminder” alla funzione interessata dalla cancellazione del dato prima dello spirare del termine, in modo che la stessa possa cercare di riottenere il consenso al trattamento dei dati prima dell’effettiva cancellazione.
Come si può notare, tale impostazione potrà consentire un maggiore controllo da parte dell’azienda, ma avrà un maggiore rischio di errore umano e quindi di mancata o errata cancellazione dei dati.
Sarà poi necessario un audit periodico al fine di verificare che la cancellazione dei dati sia avvenuta in modo corretto e non siano più presenti all’interno degli archivi aziendali dati per i quali il periodo di conservazione è terminato.
Cancellazione dei dati raccolti nell’emergenza Covid-19
Uno dei temi maggiormente affrontati in questo periodo per quando attiene le procedure da adottare nell’ambito della protezione dei dati personali riguarda il trattamento dei dati raccolti nel corso dell’emergenza Covid-19.
Tale emergenza ha infatti aumentato il trattamento di categorie particolari di dati personali ex articolo 9 del GDPR, quali i dati relativi alla salute dei soggetti interessati.
I protocolli condivisi di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro emanati dal Governo e ripresi dalle varie strutture aziendali prevedono infatti il trattamento di una serie di dati personali quali i dati attinenti alla temperatura corporea, le informazioni in merito ad eventuali contatti con soggetti sospetti o risultati positivi al virus Covid-19, nonché le informazioni in merito alla provenienza da zone a rischio secondo le indicazioni dell’OMS.
Tali dati dovranno essere trattati nel rispetto della normativa privacy applicabile e gli stessi provvedimenti governativi che sono stati emanati in questo periodo suggeriscono alcune misure adeguate per il trattamento dei suddetti dati personali, quali la rilevazione della temperatura senza registrare il dato, fatti salvi i casi in cui sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali; la predisposizione di un’informativa sul trattamento dei dati personali; la definizione di misure di sicurezza adeguate a proteggere i dati e l’adozione di misure volte a garantire la riservatezza e la dignità dei soggetti eventualmente isolati o allontanati a causa del superamento della soglia di temperatura.
Come sopra indicato, quindi, è opportuno che i dati non vengano registrati.
Ci sono tuttavia casi in cui occorre registrare i dati: ad esempio, per documentare i motivi che hanno impedito l’accesso del dipendente in azienda oppure in caso di autodichiarazioni richieste ai dipendenti in merito all’eventuale esposizione al contagio da Covid-19 quale condizione per l’accesso alla sede di lavoro.
In tali ipotesi, il titolare del trattamento dovrà procedere alla cancellazione dei dati in modo immediato al termine dell’emergenza in corso.
A tal proposito, non essendo ancora noto il momento in cui cesserà l’emergenza, è opportuno che il titolare si organizzi, con l’ausilio del Data Protection Officer, per predisporre una cancellazione non appena terminato il periodo di conservazione. In tal caso la cancellazione dovrà avvenire per forza di cose in modo manuale, in quanto non è possibile al momento indicare una data esatta per la cancellazione dei dati.
