pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Data retention: per quanto tempo conservare i dati?

Data retention: per quanto tempo conservare i dati?

Definire il periodo di conservazione dei dati personali (data retention) è uno degli adempimenti richiesti dal GDPR ed è fondamentale per tutelare i soggetti interessati.

Molto spesso, tuttavia, le aziende prestano poca attenzione a questo elemento, concentrandosi più sugli aspetti di salvataggio e backup dei dati (per non rischiare di perderli) che non sulla loro cancellazione al termine del periodo di tempo stabilito.

Infatti, se da un lato è vero che non vi sono criteri di data retention validi per tutti (essi dipendono dal singolo caso e dalle finalità del trattamento), dall'altro bisogna evitare di trascurare il problema, perché il Garante per la Privacy - anche di recente - è intervenuto in diversi casi di inadempienza, con sanzioni anche pesanti.

Vediamo, dunque, cosa prevede il GDPR in tema di data retention e quali sono i fattori da tener presenti.

Data retention: la conservazione dei dati personali secondo il GDPR

Già prima del GDPR, il vecchio Codice Privacy (D.Lgs. 196/2003) prevedeva all'articolo 11 la conservazione dei dati personali "in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati".

Stabilire il periodo di conservazione, o data retention, è quindi un concetto non del tutto nuovo, ma bensì ripreso poi nel Regolamento UE 2016/679, dove comunque non vengono indicate delle tempistiche specifiche per la conservazione dei dati.

Nel dettaglio, infatti, l'articolo 5 del GDPR stabilisce che i dati personali debbano essere "conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati". Essi possono essere conservati anche per periodi più lunghi "a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato". Con questo articolo, dunque, viene stabilito il principio di "limitazione della conservazione".

Altro riferimento presente nel GDPR, con riguardo alla conservazione dei dati sensibili, lo troviamo anche all'articolo 13 (paragrafo 2, lettera a), dove viene specificato come il titolare del trattamento - tra le diverse informazioni che è tenuto a fornire all'interessato, per garantire un trattamento corretto e trasparente - debba comunicare il periodo di conservazione dei dati personalioppure, se non è possibile, i criteri utilizzati per determinare tale periodo".

Conservazione dei dati personali e termini per la cancellazione

Sulla base di quanto visto finora, assume particolare interesse anche il Considerando 39 del GDPR, che tocca diversi punti.

Innanzitutto, specifica come il periodo di conservazione debba essere "limitato al minimo necessario".

Sempre nel Considerando 39, però, si fa riferimento anche alla necessità di un termine per la cancellazione o per la verifica periodica. Esso deve essere definito dal titolare del trattamento, proprio per evitare che i dati vengano conservati più a lungo del dovuto. Inoltre, dovranno essere adottate "tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati".

A chiarire i termini di conservazione dei dati personali - secondo quanto previsto dal GDPR - interviene anche la risposta fornita sul sito ufficiale della Commissione Europea, indicandoli come “nel più breve tempo possibile". La data retention non potrà, quindi, essere stabilita con leggerezza (men che meno copiando e incollando da un'altra informativa privacy, pratica purtroppo diffusa) ma in seguito a un'attenta valutazione. Considerando, dunque, elementi quali:

  • motivi per i quali l'azienda/organizzazione debba trattare tali dati;
  • eventuali obblighi legali per la conservazione per un determinato periodo di tempo (es. leggi nazionali sul lavoro, fiscali o antifrode, durata della garanzia sul prodotto, ecc.).

L'azienda, infine, dovrà assicurarsi anche che i dati siano accurati e aggiornati.

Data retention e tempi di conservazione: alcuni esempi

Sul sito della Commissione europea viene fornito anche un esempio di dati conservati troppo a lungo senza aggiornamento.

È il caso di un'azienda/organizzazione che gestisce un ufficio di collocamento, raccogliendo per tale fine i CV delle persone in cerca di lavoro. Se l'intenzione è quella di conservare i dati per 20 anni, senza predisporre alcuna misura per aggiornare i CV, il periodo di conservazione diventa sproporzionato rispetto allo scopo di trovare un impiego per una persona nel breve-medio termine. Anche il fatto di non richiedere aggiornamenti dei Curriculum a intervalli regolari, inoltre, rende inutili alcune ricerche di lavoro dopo un certo periodo di tempo (ad esempio, perché una persona ha acquisito nuove qualifiche).

Quello della selezione del personale è solo uno dei tantissimi ambiti possibili, per i quali è necessario valutare con attenzione il tempo di conservazione dei dati.

Ad esempio, come stabilito dal Garante per la Privacy in tema di fidelity card e garanzie per i consumatori (provvedimento del 24 febbraio 2005), "i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione".

Oppure, secondo il provvedimento 53/2018, anche semplicemente le e-mail scambiate durante l'attività lavorativa, tramite account aziendale, non possono essere conservate per sempre all'interno dei server dell'azienda (quindi per tutta la durata del rapporto di lavoro e anche dopo la sua interruzione).

Come anticipato, è importante non ignorare queste tematiche, anche perché il Garante non è nuovo a sanzioni. Solo tra giugno e luglio del 2021, ad esempio, le aziende Foodinho (controllata da Glovo) e Deliveroo Italy sono state sanzionate rispettivamente per 2,6 e 2,5 milioni di euro proprio per contestazioni sulle informative in tema di conservazione e cancellazione dei dati personali.

Vuoi saperne di più, e capire se stai rispettando gli adempimenti del GDPR? Contattaci oggi stesso per richiedere la consulenza di un nostro esperto.


banner ebook studio essepi 


chiara-merci-studio-essepi  

Scritto da: Chiara Merci


Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.





Chiamaci

045 8621499