Uno dei passaggi del GDPR più ostici da digerire per le aziende è senza ombra di dubbio il principio della «limitazione della conservazione» che impone la cancellazione o l’anonimizzazione dei dati personali una volta raggiunte le finalità per cui sono stati raccolti.

Di cosa stiamo parlando?

Stiamo parlando dell’art. 5, comma 1, lett. e) del GDPR, secondo il quale “i dati sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (…)”.

Il principio di limitazione della conservazione è uno dei pilastri del GDPR; esso stabilisce che i dati personali devono essere conservati solo per il tempo strettamente necessario a raggiungere gli scopi per cui sono stati raccolti. Quindi, anche in questa fase del trattamento che chiamiamo “conservazione dei dati personali” è attivo il principio di minimizzazione che impone alle aziende non solo di trattare i dati strettamente necessari al raggiungimento delle finalità dichiarate nell’Informativa, ma di trattarli anche per il periodo minimo di tempo indispensabile a raggiungere quelle stesse finalità.

Perché è importante la conservazione dei dati personali?

Ricordiamoci sempre che, scopo del GDPR, è quello di proteggere le persone fisiche con riguardo al trattamento dei dati personali, quindi: meno dati sono trattati dalle aziende, meno a lungo sono conservati, minori sono i rischi a cui gli interessati, le persone a cui i dati si riferiscono, sono esposti.

Pensiamo a un sistema di videosorveglianza, ad esempio, installato per ragioni di sicurezza, ovvero per la tutela del patrimonio aziendale: che senso avrebbe conservare indefinitamente le immagini? Perché esporre oltre al tempo necessario le persone riprese al rischio degli accessi indesiderati di un hacker che potrebbe fare uso delle immagini attraverso software di intelligenza artificiale, per creare dei video fake? Ecco, proprio di questo si preoccupa il GDPR: proteggere le persone fisiche.

Stabilire i tempi di conservazione dei dati

Anzitutto: prima di parlare di una policy di conservazione dei dati personali, dobbiamo sapere dove si trovano i dati personali raccolti e trattati, ergo: data mapping.

Ogni azienda per applicare correttamente l’articolo chiave 32 del GDPR rubricato “Sicurezza del trattamento” e costruire correttamente il proprio Modello Organizzativo Privacy, deve partire dalla mappatura dei dati personali, ovvero analizzare tutti i dati personali che sono trattati nei processi aziendali.

Il data mapping è un processo chiave che consiste nell’individuare, catalogare e documentare tutti i dati personali che un’organizzazione tratta, specificandone la natura, l’origine, la destinazione e le modalità di trattamento. In primis, poi, tutte le informazioni raccolte in fase di data mapping, vengono passate al setaccio nell’analisi dei rischi per poi essere riversate nei Registri del trattamento.

Solo successivamente ci si può occupare della Data Retention Policy, riprendendo tutti i trattamenti inseriti per catalogarli in base alle loro finalità, ad esempio:

  • finalità contrattuali
  • adempimento obblighi di legge
  • finalità marketing

Al termine o, meglio, durante questo esercizio, possono essere individuate le categorie documentali attraverso le quali vengono trattati i dati personali per le finalità individuate, ad esempio:

finalità contrattuali:

  • dati di contatto dei clienti per adempiere obblighi contrattuali
  • dati personali di tipo comune e particolare dei lavoratori per adempiere obblighi contrattuali

adempimento obblighi di legge:

  • codice fiscale, partita IVA dei clienti per adempiere obblighi di natura fiscale
  • dati sanitari dei lavoratori per adempiere obblighi di sicurezza sul lavoro

finalità marketing:

  • indirizzi e-mail e prestazione del consenso dei destinatari delle Newsletter
  • dati di profilazione circa l’utilizzo delle e-mail da parte dei destinatari delle Newsletter

A questo punto: che valore diamo al periodo di conservazione dei dati trattati per le finalità individuate?

Chi decide i tempi di conservazione?

Andando subito al punto, i tempi possono essere decisi:

  • dal Titolare del trattamento
  • dalla legge.

Tempi decisi dal Titolare del trattamento

Sulla base del principio di accountability, spetta al Titolare del trattamento, sulla scorta di valutazioni imposte dal GDPR sempre finalizzate ad abbattere i rischi per gli interessati cui sono esposti come conseguenza del trattamento dei loro dati personali, decidere il quantum, ovvero, conclusi tutti i trattamenti per i quali i dati sono stati raccolti, quando procedere con la loro cancellazione o anonimizzazione.

Nei fatti, i possibili ragionamenti del Titolare sono guidati, per non dire, forzati, se non dalla legge, da interventi del Garante Privacy o di altre Authority europee.

Qualche esempio?

Videosorveglianza

  • Il Garante, al riguardo, è molto chiaro: perché conservare oltre le 48/72 ore immagini raccolte per finalità di tutela del patrimonio aziendale? Per andare oltre le tempistiche indicate, è necessario documentare le ragioni della prolungata conservazione (es.: sorveglianza di aree ad alto rischio quali banche, gioiellerie, oppure di aree dove, un eventuale effrazione, potrebbe essere rilevata solo dopo le 72 ore canoniche previste dal Garante)

E-mail lavorativa

  • Il Garante, in caso di cessazione di attività lavorativa di un lavoratore, impone che la sua mailbox individuale venga immediatamente disattivata per poi, entro il ragionevole temine di 3 o 4 mesi, essere definitivamente cancellata con tutto il suo contenuto.

Tempi decisi dalla legge

Una gran quantità di dati personali è raccolta dalle aziende, e conservata, per adempiere ad obblighi previsti dalla legge: in questo caso, i tempi di conservazione sono rigidi e predefiniti dalle normative di riferimento per essere GDPR compliant.

Qualche esempio?

Settore contabile e fiscale

  • Fatture e documenti fiscali: la normativa fiscale italiana prevede generalmente un periodo di conservazione di 10 anni.
  • Registri contabili: i registri contabili devono essere conservati per un periodo che varia a seconda della tipologia di società e delle operazioni svolte.

Settore del lavoro

  • Buste paga e contributi previdenziali: devono essere conservati per i tempi previsti dalla normativa previdenziale e fiscale.
  • Documentazione relativa al rapporto di lavoro: la normativa vigente indica i periodi di conservazione per diverse tipologie di documenti (es. certificati medici, verbali di contestazione).

Settore bancario e finanziario

  • Dati contrattuali e transazioni: i dati relativi ai rapporti contrattuali e alle operazioni finanziarie devono essere conservati per un periodo che varia a seconda della tipologia di prodotto o servizio e delle normative applicabili in materia antiriciclaggio.

Marketing diretto

  • I dati per finalità di marketing diretto possono essere conservati fino a quando l’interessato non revoca il consenso.

Tracciabilità ed effettività della conservazione dei dati personali

È fondamentale documentare le scelte fatte in merito alla conservazione dei dati. Questa documentazione deve essere chiara e comprensibile e deve essere messa a disposizione delle autorità di controllo in caso di verifica.

Non solo.

La Data Retention Policy deve esser condivisa con il personale autorizzato a trattare dati personali e supportata da idonee procedure e strumenti atti a garantire l’effettivo rispetto dei tempi di conservazione. Quindi: non solo consapevolezza, ma anche adeguate misure tecniche per mettere correttamente a terra la policy.

Qualche esempio?

Distruggidocumenti facilmente accessibile

  • Terminato il trattamento o, arrivato il momento di cancellare uno o più documenti cartacei, il personale deve avere a disposizione uno strumento per effettuare una cancellazione sicura dei dati, ad esempio, un distruggidocumenti. Il distruggidocumenti dovrà non solo essere facilmente accessibile ma anche  adeguato alla tipologia di dati da cancellare: in caso di documenti con dati particolari, sarebbe opportuno utilizzare un distruggidocumenti almeno di classe P3, con tipo di taglio “particolato” e dimensione dei frammenti di 3 per 30 mm.

Software di recruiting o Applicant Tracking System (ATS) privacy compliant

  • Utilizzare solo piattaforme che prevedano l’impostazione dei tempi di conservazione dei dati raccolti con eventuale notifica al responsabile di processo di conferma di cancellazione al termine del trattamento.

Conclusioni

Niente più testa nella sabbia: la gestione dei tempi di conservazione dei dati personali è un aspetto cruciale per garantire la conformità al GDPR e la protezione dei diritti degli interessati.

La Data Retention Policy deve essere, oltre che chiara ed aggiornata, condivisa con il personale autorizzato e supportata da adeguate misure tecniche che la rendano effettiva.

Sei in regola con la normativa sulla privacy?

Fai il test