Conservazione dei dati personali e GDPR.

Nel Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (meglio noto come “GDPR”), vi è l’esplicita previsione del divieto di conservare gli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento. 

Il GDPR impone al titolare del trattamento dei dati di indicare già nell’informativa «il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (art. 13, paragrafo 2, lettera a) del GDPR; nello stesso senso, art. 14, paragrafo 2, lettera a) del GDPR).

All’art. 5, comma 1, lett. e), del GDPR è previsto che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);“. 

Principio questo previsto anche dalla precedente normativa. 

Conservazione dei dati personali e la compliance

Valutare correttamente l’estensione temporale di tale periodo è essenziale per ottenere la compliance col GDPR. 

Il tempo di conservazione dei dati personali va valutato in relazione alla finalità del trattamento, quindi a diverse finalità possono corrispondere diversi termini.

Alcuni tempi sono stabiliti da leggi (es: norme per i fornitori di servizi telefonici o telematici) o obblighi contrattuali (es: i dati fiscali), altri sono stabiliti direttamente dal titolare. 

Il Garante della privacy ha emanato provvedimenti che aiutano il titolare nella fissazione dei termini di conservazione dei dati personali.  

Ovviamente un tempo di conservazione infinito non è ammissibile, deve essere sempre limitato e deve essere necessariamente proporzionato alla finalità medesima.

Alcuni dati possono essere conservati per gli adempimenti relativi alla garanzia di un prodotto, o anche per tutelarsi in vista di possibili contenziosi.

In questo caso si farà riferimento ai termini di prescrizione dell’azione giudiziaria corrispondente, aumentati di un breve periodo correlati agli adempimenti necessari (deposito atti giudiziari, ecc.). 

Il dato deve essere cancellato (ovviamente da tutti i supporti, compreso i backup) o anonimizzato alla scadenza del termine di conservazione.

 

Conservazione dei dati personali

Principi dell’articolo 5 del Regolamento (UE) 2016/679

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, quali:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento. 

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”.

Questo è il principio di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”

Come si determinano i tempi di conservazione dei dati personali?

Solo i dati necessari al perseguimento delle finalità della raccolta possono essere conservati.

Non esiste alcun vademecum che detti dei tempi certi di conservazione perché i tempi di conservazione variano a seconda della specifica finalità del trattamento perseguita.

I dati devono e possono essere conservati fino a quando sono necessari per raggiungere la finalità del trattamento per la quale sono stati raccolti.

Ad ogni finalità corrisponde un determinato termine di conservazione dei dati personali, variabile peraltro a seconda delle caratteristiche stesse del trattamento.

Un dato può anche essere trattato per più finalità.

Opportune misure per impedire che il dato venga trattato per una finalità diversa da quella per la quale viene conservato saranno fondamentali.

Pensiamo ai dati identificativi e di contatto dei consumatori, e ipotizziamo che siano trattati per eseguire un contratto di compravendita, per adempiere agli obblighi legali connessi (obblighi di garanzia e fiscali) e per fini di marketing.

La necessità di conservare i dati identificativi e di contatto per il tempo, tendenzialmente lungo, imposto dalla normativa fiscale non legittima la conservazione o il trattamento degli stessi per finalità di marketing per lo stesso, uguale, periodo.

Conviene conservare solo i dati necessari al perseguimento delle finalità della raccolta 😉

Contattaci per gestire la conservazione dei dati personali e relativa cancellazione.

Contattaci per conservare i dati personali correttamente 😉

Conservazione dei dati personali. Ultima modifica: 2020-10-28T16:11:46+01:00 da Ileana Somma
Ileana Somma

Ileana Somma

Consulting, Marketing, Telematic, Web Agency

,