Il tema dell’obbligo di cancellazione dei dati personali, oggi art. 5, paragrafo 1, del GDPR, cioè la norma che detta il principio di limitazione della conservazione, non è da principio stato introdotto dal GDPR: l’obbligo di cancellazione dei dati che non sono più necessari per il perseguimento delle finalità per le quali sono stati raccolti era, di fatto, già previsto dal Codice Privacy.
C’è, però, una fondamentale differenza tra il GDPR e il Codice Privacy: l’obbligo di rendere subito noto agli interessati il termine di conservazione dei loro dati personali. Infatti, se il Codice Privacy consentiva al titolare del trattamento di scegliere se dichiarare o meno nell’informativa il tempo di conservazione dei dati, il GDPR elimina qualsiasi discrezionalità imponendo al titolare di indicare già nell’informativa anche “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.
Solo i dati necessari al perseguimento delle finalità della raccolta possono essere conservati: come approfondito in dettaglio nell’articolo Conservazione dei dati, principio di limitazione e obbligo di cancellare quelli non (più) necessari di Cybersecurity360, i dati devono e possono essere conservati nella misura in cui, e fino a quando, sono necessari per raggiungere la finalità del trattamento per la quale sono stati raccolti. Ad ogni finalità corrisponde un determinato termine di conservazione dei dati personali, variabile peraltro a seconda delle caratteristiche stesse del trattamento.
Uno stesso dato può anche essere trattato per più finalità: in questo caso, occorrerà adottare opportune misure per impedire che il dato venga trattato per una finalità diversa da quella per la quale viene conservato. Il criterio per determinare i tempi di cancellazione deve essere la necessità del dato per il raggiungimento della finalità del trattamento.
Vi è però un caso particolare, ovvero gestire i dati che potrebbero essere necessari. Il criterio indicato dal Garante per questa eventualità poggia sulla distinzione tra probabilità e possibilità: il dato può essere trattato e, quindi, conservato se l’esigenza di tutela è probabile, e non in caso di astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.
A seconda della specifica finalità del trattamento, i tempi di conservazione possono essere fissati dalla legge, come nel caso di trattamenti eseguiti per finalità di esecuzione di un contratto e per adempiere ad obblighi legali, o rimessi alla scelta del titolare del trattamento, ad esempio nei trattamenti per fini di marketing. In questo caso la scelta del titolare del trattamento dovrà essere adeguatamente documentata e motivata.
Tuttavia, ogni sforzo del titolare del trattamento per determinare i tempi di conservazione dei dati nulla può, chiaramente, nel caso di esercizio del diritto alla cancellazione (o diritto all’oblio) da parte degli interessati.
Il diritto alla cancellazione prevale sull’interesse alla conservazione: nei casi previsti, se un interessato chiede la cancellazione dei propri dati il titolare deve procedere senza ingiustificato ritardo, e quindi senza riservarsi di continuare a trattare il dato sino alla scadenza originariamente fissata, prossima o meno che sia.
Il diritto all’oblio di cui all’art. 17 del GDPR è il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale, come approfondito nell’articolo Diritto all’oblio nel GDPR, ecco tutte le novità di AgendaDigitale.
La vera novità del GDPR sul diritto all’oblio, tuttavia, consiste nel dovere del titolare, che abbia reso pubblici i dati, di diventare un “tramite obbligato” anche verso gli altri titolari che, a sua conoscenza, stanno trattando i dati oggetto della istanza di cancellazione, sempre che si richieda anche la delinkizzazione o la cessazione di ogni copia o diffusione.
In questa ipotesi l’art. 17 paragrafo 2 impone al titolare non solo di cancellare i dati (sempre ovviamente che ritenga la richiesta legittima per quanto lo riguarda). Egli deve anche, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici.
L’obbligo di segnalazione scatta sempre quanto l’interessato non si sia limitato a chiedere solo la cancellazione dei suoi dati da parte del titolare a cui si rivolge, ma domanda la cancellazione di “qualsiasi immagine, copia o riproduzione dei suoi dati personali”.
La norma sembra porre implicitamente anche altre limitazioni rispetto al dovere del titolare che ha reso pubblici i dati. Il titolare a cui è stata rivolta la richiesta ha infatti, solo il dovere di segnalazione, non anche quello di accertarsi del comportamento degli altri titolari e di informare di questo l’interessato.
Inoltre, anche il dovere di segnalazione trova un limite nella tecnologia disponibile e dei costi di attuazione ragionevoli.
È evidente che la norma pone problemi enormi che toccherà alle Autorità di controllo e al Gruppo europeo di protezione dati aiutare a risolvere. Tuttavia, è da sottolineare la portata innovativa dell’art. 17 che rappresenta perfettamente quello che è il primo obiettivo del GDPR, ovvero tutelare e proteggere i dati per rafforzare la fiducia dei cittadini nella società digitale.
Assicurare che la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporti per lui anche l’obbligo di trasmetterla a tutti coloro che li utilizzano è certamente cosa molto positiva per i cittadini.
A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
