Conservare i dati personali è importante, ma quanto? Limitare la conservazione dei dati personali è uno degli argomenti più ostici per le organizzazioni alle prese con gli adempimenti del GDPR. In parte per una tendenza all’accumulo che è stata studiata come comune per titolari del trattamento e scoiattoli. Ma è opportuno ricordare che i dati personali non sono ghiande e le preoccupazioni per l’inverno difficilmente si superano con archivi e supporti pericolosamente traboccanti di dati personali.
Citando Lord Wells in Dylan Dog: tutto il contrario, anzichenò.
La conservazione è un’attività di trattamento di dati personali e dunque deve trovare un fondamento di liceità per essere svolta. Spoiler: lo è anche la cancellazione e distruzione del dato personale, e ciò comporta che anche tali operazioni debbano essere svolte in modo lecito e sicuro. Ma ne parleremo alla fine. Per ora limitiamoci a pensare che più dati vengono tenuti, più bisogna preoccuparsi di tenerli in sicurezza. E in caso di data breach, non saper rispondere alla domanda: “Come mai hai questi dati con te?” è uno dei modi migliori per essere un caso di studio e protagonisti di un esempio negativo.
Veniamo al dunque: il principio di limitazione della conservazione prevede che i dati personali sono:
“conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato” («limitazione della conservazione»); (art. 5.1 lett. e) GDPR).
C’è ben poco da fare: prima o poi bisogna venire a patti col fatto che qualche dato personale dovrà essere scartato o altrimenti anonimizzato in modo irreversibile. Non importa quanto ci si è affezionati (ritengo che tale argomento difficilmente potrebbe essere invocato come legittimo interesse). A meno che, ovviamente, non ci sia qualche legge che prevede obblighi di conservazione illimitata (alla pari di quel sempre e per sempre caro alle fiabe), che però sono circoscritti solo ad alcuni documenti o a particolari ambiti pubblici. Ma evitiamo di divagare troppo…
Definire i tempi e decidere quanto conservare i dati personali
Facile a dirsi che i tempi di conservazione vanno definiti. Come nella migliore delle tradizioni occidentale vediamo come si può fare in tre passaggi:
(i) sapere quali dati personali sono raccolti e trattati;
(ii) verificare le finalità specifiche dei trattamenti e definire i tempi di trattamento;
(iii) controllare se c’è un obbligo di legge che prevede tempi superiori di conservazione e indicare così tale periodo.
Dove annotarsi questa informazione? All’interno del registro dei trattamenti, ovviamente! Fra l’altro risponde all’obbligo di indicare “i termini ultimi previsti per la cancellazione delle diverse categorie di dati“.
Inoltre, il periodo di conservazione dei dati personali fa parte delle informazioni da rendere agli interessati. Come sempre: evitare le formule di stile. Sono inutili nella migliore delle ipotesi, dannose nell’ordinario. Dire “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio non aggiunge nulla di specifico e si limita a parafrasare il dettato della norma. Inoltre, è scorretto nei confronti dell’interessato e viola la trasparenza informativa.
Vero: se non è possibile indicare il periodo di conservazione, la norma consente di indicare i criteri utilizzati per determinare il periodo. Ma questo non è un cheat code per aggirare l’obbligo in spregio dei diritti degli interessati (magari sentendosi anche particolarmente furbi per l’invenzione).
Insomma: la regola di base è essere in grado di indicare i tempi di conservazione. E se è proprio impossibile farlo, allora si devono chiarire dei criteri in modo tale che anche l’interessato sia in grado di effettuare una stima a riguardo. Ad esempio non c’è problema nel dire che i dati vengono conservati “per adempiere agli obblighi di legge” ma occorrerà quanto meno indicare la norma cui si fa riferimento.
Tutto qui? Non proprio.
Tra il dire e il fare
Per quanto riguarda il rispetto dei tempi di conservazione tra il dire e il fare c’è di mezzo…lo scarto documentale. Decidere quanto conservare i dati personali, dunque informare gli interessati del rispetto di un determinato periodo implica lo svolgimento di operazioni di cancellazione (o anonimizzazione) per garantire che in concreto venga fatto quanto è stato scritto. Altrimenti sarebbe solo un wishful thinking, decisamente poco utile per gli adempimenti normativi.
Definire la classificazione e lo scarto documentale all’interno dell’organizzazione è indispensabile. Per farlo è fondamentale sapere dove si trovano le categorie di dati (e supporti) da dover cancellare/anonimizzare alla scadenza. Mentre per il come farlo, è sufficiente tenere a mente che anche queste operazioni sono dei trattamenti di dati personali. Pertanto devono essere rispettate tutte le garanzie previste dal GDPR.
Un paio di esempi:
#1 la responsabilizzazione ed istruzione dei soggetti coinvolti
#2 gli aspetti relativi alla sicurezza
#2-bonus in caso di anonimizzazione: stimare il rischio di reidentificazione.
