Tra i più discussi adempimenti richiesti dal Regolamento UE 2016/679 (meglio conosciuto con l’acronimo inglese di GDPR) c’è sicuramente la definizione del “periodo di conservazione dei dati personali” (data retention) e più precisamente dei “criteri utilizzati per determinare tale periodo” (art 13, comma 2, lettera a del Regolamento). Valutare correttamente l’estensione temporale di tale periodo di conservazione permette di ottenere la compliance in merito a data retention e GDPR. Tale requisito, infatti, viene ricompreso fra le informazioni che dovranno essere inserite nella “nuova” informativa privacy che il titolare al trattamento deve fornire all’interessato “per garantire un trattamento corretto e trasparente”.
Indice degli argomenti
Conservazione dei dati personali: una “vecchia novità”
Il GDPR, in realtà, non ha introdotto un elemento di innovazione sostanziale rispetto al vecchio Codice Privacy (D.lgs. 196/2003), che già prevedeva all’articolo 11 che i dati personali devono essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”. Anche chi si occupa di sicurezza delle informazioni avrà sicuramente sentito parlare di data retention, espressione che si riferisce perlopiù al tempo di conservazione dei dati di backup: l’arco di tempo in cui un backup è disponibile per il ripristino ovvero per quanto tempo i dati salvati andranno conservati prima di essere cancellati.
Data retention e GDPR: il giusto periodo di conservazione dei dati
Alcuni termini di conservazione sono determinati direttamente dalla legge o da un contratto mentre altri sono autodeterminati dal titolare del trattamento. Quando il punto di partenza per l’identificazione è il dettato legislativo, deve essere applicato un requisito già determinato. A dicembre 2017, per esempio, il legislatore ha modificato gli obblighi in carico agli operatori telefonici portando il periodo di conservazione dei dati di traffico telefonici e telematici a 72 mesi (periodo massimo). In taluni casi invece la legge è di supporto per identificare il periodo minimo di conservazione: ad esempio, nella valutazione potrebbe essere utile partire dai termini di prescrizione entro i quali un soggetto esterno può attivare un’azione nei confronti del titolare del trattamento. A questi sarebbe necessario aggiungere un ulteriore periodo – cuscinetto utile per tener conto anche del deposito e della notifica di un atto giudiziario. Un’azienda, volendo sintetizzare un caso pratico, potrebbe decidere di conservare i dati relativi al rapporto di lavoro minimo per 10 anni. In tal senso è utile ricordare che non vanno certamente dimenticati gli obblighi di conservazione della documentazione per finalità fiscali o contrattuali (i cosiddetti termini prescrizionali di 5 e 10 anni).
Periodo di conservazione: cosa fare quando la scelta spetta al titolare
La definizione di un tempo di conservazione “adeguato” non può che dipendere da una attenta analisi del business e da uno studio dei trattamenti. Questo tempo è dunque legato alla finalità del trattamento: se lo stesso dato è trattato per diverse finalità, sono necessari tempi di conservazione diversi per ognuna delle diverse finalità. In taluni casi il Garante Privacy può certamente aiutare per identificare similitudini di trattamenti. Negli anni passati si è espresso più volte relativamente ai tempi di conservazione. Nel 2016, ad esempio, (con provvedimento del 30 giugno 2016) ha determinato in 15 anni il periodo di conservazione dei dati personali riguardanti la clientela di un’agenzia immobiliare per attività di profilazione e marketing. Ma non sempre l’autorità può supportare le aziende per identificare agevolmente un periodo definito; soprattutto considerando i diversi interessi e le differenti finalità in gioco. Sarebbe comprensibile che una Pubblica Amministrazione conservasse i dati per sempre se tale trattamento fosse supportato da una effettiva esigenza; per esempio, i dati personali nei registri del catasto devono necessariamente essere conservati per un tempo che va ben oltre i canoni dei normali trattamenti (1, 2, 5, 10 anni ecc.). Ciò è giustificato dal compito di interesse pubblico che gli uffici della PA devono garantire: nel caso del catasto, per poter ricostruire anche a distanza di generazioni la storia di un bene immobile. Diversamente i dati di contatto forniti per una richiesta di assistenza dovranno essere trattati per il tempo strettamente necessario e nei limiti del raggiungimento dello scopo per i quali sono stati richiesti (principio di minimizzazione dei dati) al fine di gestire la richiesta stessa (30, 60, 90 giorni). I dati gestiti da una società di selezione possono essere trattati per il tempo strettamente connesso alla ricerca in atto per i quali i dati sono stati acquisiti (la società ha pubblicato un annuncio di lavoro ed ha ricevuto alcuni curricula. È pacifico ritenere che tali dati saranno conservati per tutta la durata della selezione in corso). Ma se la società, che effettua come attività principale l’incrocio fra domanda e offerta di lavoro, volesse utilizzare i dati per offrire ulteriori opportunità di lavoro ed incrociare il profilo del candidato con altre ricerche in essere anche future, può farlo? In tal caso, il periodo di conservazione eccederebbe la singola ricerca in corso. Nell’interesse del candidato non parrebbe del resto sensato precludere ulteriori opportunità in virtù del principio della “limitazione della conservazione”. Quale dovrebbe essere il giusto bilanciamento degli interessi e diritti in gioco? In tal caso sarebbe fondamentale esplicitare in modo inequivoco nell’informativa fornita al candidato che: “i dati saranno trattati anche per eventuali posizioni differenti rispetto a quelle per le quali si è candidato”. Ma per quanto tempo? È ammissibile utilizzare tali dati ma solo per un tempo limitato sulla base di un’analisi delle finalità. Ad esempio conservare i dati del candidato al massimo per i 36 mesi successivi a far data dal momento in cui lo stesso li ha conferiti o dal suo ultimo aggiornamento nell’area privata del sito sul quale il candidato si è registrato. 36 mesi potrebbe essere un periodo determinato sulla base degli interessi in gioco e identificato al termine di una valutazione di opportunità. Servirebbe conservare un curriculum vitae oltre i 36 mesi? Un CV più vecchio di 36 mesi risulterebbe non aggiornato e quindi concretamente sarebbe scarsamente utilizzato, sia pure nell’interesse del candidato.
Dati di marketing: il vero problema della data retention
La vera retention che molte aziende desiderano identificare è ovviamente relativa ai dati di marketing. Se da una parte è pacifico ritenere che i dati presenti sulle cosiddette pagine gialle non possano essere utilizzate per finalità di marketing puro, va da sé che è necessario acquisire uno specifico consenso informato ed archiviare i dati per un tempo definito. Siamo costantemente inondati da telefonate promozionali di società che ci contattano perché dispongono del nostro numero telefonico o indirizzo e-mail acquisto probabilmente anni addietro. L’identificazione di un periodo di archiviazione, in tal caso, potrebbe essere determinata anche sulla base del ciclo medio di vita di un’utenza telefonica o di un indirizzo e-mail (ogni quanto cambiamo e-mail e numero telefonico?). In alternativa andrebbe considerata l’attualità degli interessi in gioco: se ho fornito un consenso marketing per ricevere comunicazioni al fine di scegliere prodotti di previdenza integrativa è probabile che dopo 24 mesi abbia già fatto le mie scelte. Potrebbe pertanto rappresentare un’alternativa per l’azienda identificare un periodo minimo di conservazione e lasciarsi la possibilità di rinnovare la richiesta di consenso al termine di tale periodo.
L’importanza di documentare le scelte
Ciò che non deve mai mancare, secondo il principio dell’accountability è la documentabilità delle scelte operate e dei criteri utilizzati. Scelte che devono essere fondate su criteri oggettivi, sulle specifiche finalità del trattamento e soprattutto sulla politica della gestione dei tempi di conservazione che l’azienda ha definito. È evidente che una corretta e reale definizione dei tempi di conservazione dei dati non può che dipendere dalla definizione di una preventiva policy aziendale, documento che in realtà le aziende dovrebbero già avere.
