GDPR: per quanto tempo conservare i dati personali?
Abbiamo già dato notizia del fatto che una autorità garante tedesca ha emesso una sanzione di 14, 5 milioni di euro contro una azienda di gestione immobiliare, perché aveva conservato troppo lungo i dati personali di vari interessati.
In Danimarca, l’autorità garante locale ha sanzionato con importi variabili da 160.000 a 200.000 € due aziende che non avevano determinato il tempo di conservazione di dati personali. Un’azienda gestiva delle auto pubbliche ed i dati dei clienti venivano conservati per tempi praticamente illimitati. La seconda sanzione è stata applicata ad una azienda che vendeva oggetti di arredo, che non aveva messo a punto una politica di conservazione dei dati.
Giova ricordare ai lettori che questo problema non si pone solo in Europa, ma anche oltre oceano.
La commissione federale per il commercio degli Stati Uniti ha più volte ricordato a tutte le aziende che non possono mantenere dati personali nei propri archivi, se non per ragioni ben motivate.
Purtroppo, nella maggioranza dei casi, i titolari delle aziende sono più preoccupati di perdere i dati, che non di cancellarli quando non più necessari.
Ecco perché praticamente tutte le aziende dispongono di una politica per la realizzazione di copie di backup, per una opportuna salvaguardia di queste copie nel cloud o presso altri servizi informativi, mentre spesso non hanno assunto alcuna decisione in merito al tempo di conservazione dei dati stessi.
Chi scrive, che si occupa di un’associazione volontaria, ha dovuto attivarsi presso le strutture sanitarie dell’Emilia-Romagna per ottenere una specifica determinazione, grazie alla quale è stato possibile attivare un protocollo di conservazione dei dati di volontari associativi e successivamente determinare i tempi e modi della distruzione delle cartelle personali dei volontari stessi.
Nel corso dei frequenti incontri con responsabili della protezione dei dati e titolari del trattamento, ho potuto riscontrare come non sempre sia presente una chiara politica, che determina il tempo di conservazione dei dati e, successivamente, determini le modalità di cancellazione, per dati informatici, o distruzione, per dati su supporti cartacei o di altra natura.
Ricordo che l’autorità garante italiana ha individuato, in termini concreti, solo i tempi di conservazione massimi per le videoregistrazioni, mentre per altre categorie di dati vale il principio generale che suona così:
- la durata di conservazione deve essere la minima possibile, compatibilmente con le finalità per cui i dati vennero raccolti.
Nel mettere a punto questa politica, i titolari, con l’assistenza dei responsabili del trattamento e dei responsabili della protezione dei dati, devono innanzitutto esaminare la presenza di eventuali vincoli di natura legislativa o amministrativa. Ad esempio, per la conservazione di dati di fatturazione esistono delle regole ben precise, che devono essere sempre rispettate.
In altri casi, come ad esempio le cartelle cliniche ospedaliere, la legge stabilisce che il termine di conservazione sia illimitato. Questo è il motivo per cui molte strutture sanitarie hanno deciso di convertire in forma digitale le cartelle cliniche, per recuperare spazio prezioso nelle strutture ospedaliere.
Una volta verificata l’esistenza o l’assenza di eventuali vincoli legali, il titolare deve valutare le finalità per cui i dati sono stati raccolti e, sulla base di questo esame, decidere il da farsi. Un classico esempio è la raccolta di dati personali afferenti alla gestione di un questionario di marketing. Quando la raccolta dei dati è ultimata e sono stati estratti i dati statistici, e quindi per definizione anonimi, non vi è più alcuna ragione per conservare le schede, che in origine erano state compilate dagli interpellati. Appare infatti evidente che l’obiettivo del questionario è quello di raccogliere valutazioni su prodotti e non già nomi e cognomi, di chi queste valutazioni ha emesso.
Nel compilare una politica di conservazione dei dati, occorre anche dedicare qualche spazio alla individuazione dei luoghi dove i dati sono conservati: è questa infatti una esigenza fondamentale, perché, quando si procederà alla distruzione di dati, occorre essere certi che i dati vengano cancellati, ovunque essi si trovino. Se i dati sono su supporto cartaceo l’indagine è più semplice, ma quando i dati sono su supporto informatico è possibile che ne esistano numerose copie, sparpagliate in vari sistemi informativi o addirittura nel cloud.
Sono tutti elementi che il titolare deve prendere in considerazione nello sviluppare la politica di conservazione dei dati.
Per dare concreta attuazione a questo obbligo ecco i miei suggerimenti:
- il problema deve essere sottoposto all’alta direzione, vale a dire al titolare, e specificamente approvato,
- deve essere creato un tavolo di confronto, dove siano presenti tutti i soggetti che possono contribuire a determinare la durata di conservazione dei dati e soprattutto la individuazione dei luoghi dove i dati sono conservati,
- si deve attivare una politica di cancellazione automatica, dove possibile, per semplificare il rispetto della politica di conservazione e di cancellazione,
- tutti gli atti sviluppati da questa commissione devono essere documentati da un verbale, che potrà essere esibito alle autorità ispettive, per giustificare le scelte intraprese,
- infine, questi documenti devono essere riesaminati, ad intervalli non superiori ad un anno, per essere certi che essi siano continuamente aggiornati e conformi ad eventuali nuove prescrizioni legislative od amministrative, emesse dalle pubbliche amministrazioni o delle autorità garanti nazionali.
In sintesi: è meglio una breve conservazione ed una diligente cancellazione!
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.