Una delle principali novità introdotte dal Regolamento 2016/679 o GDPR è il principio di “responsabilizzazione” (cosiddetto “accountability” art. 24 GDPR), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di dimostrare il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).
Indice degli argomenti
Il principio di accountability nella conservazione dati personali
La responsabilizzazione implica che il titolare debba prevedere un’intensa attività di adeguamento alla normativa, il che presuppone una vera e propria architettura di compliance giuridica che deve essere definita in una specifica policy.
Difatti affinché si possa parlare di un trattamento lecito, i dati personali devono essere elaborati nel rispetto dei principi di cui all’art. 5 del GDPR e di quelli di data protection-by-design e by default di cui all’art. 25 GDPR.
Nella sostanza il modello di gestione del rischio introdotto dal GDPR comporta che l’interessato ceda al titolare del trattamento il diritto all’utilizzo dei propri dati personali mantenendo su di essi un controllo nel rispetto dei principi generali; tra l’altro i predetti dati pur essendo proiezioni della personalità individuale del singolo interessato, sono anche beni in grado di produrre valore economico anche consistente.
Questa attività di pianificazione e controllo è racchiusa proprio nel termine “accountability”, che in inglese indica l’idea di rendere conto di qualcosa a qualcuno in un contesto istituzionale, mentre in italiano è necessaria una frase più complessa per esprimere il medesimo concetto che in inglese è espresso con un singolo lemma.
Minimizzazione e limitazione della conservazione dati personali
Premesso quanto anticipato, uno dei principi fondamentali del Regolamento, il quale sottintende un’importante attività di analisi e di processo, riguarda il principio di “minimizzazione e di limitazione della conservazione”, che comporta la necessità di limitare il periodo di conservazione dei dati personali al minimo necessario, al fine di evitare inutili rischi legati alla conservazione di informazioni non più necessarie.
Al riguardo si rende opportuno rappresentare che, oltre a quanto già previsto dal GDPR, anche l’Agenzia dell’Unione europea per la cibersicurezza (“ENISA”) promuove la minimizzazione dei dati come principio fondamentale per la protezione dei dati personali; questo significa raccogliere, archiviare e trattare solo i dati strettamente necessari per raggiungere uno scopo specifico, limitando la loro quantità e l’utilizzo.
In tale quadro giuridico il ruolo del Responsabile della Protezione dei Dati o DPO ove previsto per legge, ovvero ove designato per libera scelta del titolare, non può che rilevarsi prezioso supportando gli uffici privacy e di compliance nella individuazione concreta delle diverse tipologie di dati, raccordate per finalità ed effettiva necessità, posto che il DPO agisce come promotore del rispetto dei principi della data Protection all’interno della struttura del titolare e vigila sul corretto svolgimento dei trattamenti.
Organizzazione tecnica per la conservazione dati personali
L’attività di analisi andrà ad incidere soprattutto nella organizzazione e nelle modalità di trattamento (basti pensare all’adeguamento di sistemi informatici e dei software, nonché tra l’altro della conservazione dei file di Log).
Il Regolamento infatti, stabilisce che i dati debbono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali i predetti dati sono trattati; possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento a tutela dei diritti e delle libertà dell’interessato. La ratio della limitazione della conservazione è da ricercare nella tutela delle libertà degli interessati: da un lato, infatti, si permette all’interessato di avere maggiore “controllo” sulla circolazione dei suoi dati personali, dall’altro lato, nel contenimento dei rischi da data breach.
Criteri per determinare i tempi di conservazione dati personali
In merito alla determinazione della durata della conservazione dei dati non esistono, al momento, criteri ufficiali volti a stabilire in modo uniforme modalità e tempi di conservazione dei dati personali. Alcuni termini/principi possono ad ogni modo essere individuati, con la presente analisi ne identifichiamo qualcuno:
- il primo è tipicamente il caso dei trattamenti eseguiti per finalità di esecuzione di un contratto, o per adempiere ad obblighi legali. I tempi di conservazione sono, in questo caso, facilmente determinabili; ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”. Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
- il secondo lo abbiamo in tema di videosorveglianza. Per tale trattamento possiamo riferirci, ad un provvedimento a carattere generale della Autorità Garante per la Protezione dei Dati Personali del 2010, la quale ha dettato determinati vincoli, circoscrivendo a carattere generale il limite della conservazione a ventiquattro ore, eccetto nel caso di speciali esigenze di “proroga” dovuta a festività o chiusura di uffici o esercizi oppure per adempiere a una specifica richiesta investigativa dell’autorità giudiziaria, ovvero, in casi eccezionali, prevedendo che alcuni soggetti (i comuni, le banche, etc.) hanno la possibilità di conservare le immagini fino a 7 giorni, questo quando l’attività di videosorveglianza è finalizzata alla tutela di interessi meritevoli di una maggiore difesa, quali la sicurezza pubblica, ovvero quando l’attività posta in essere dal titolare del trattamento delle immagini è alquanto rischiosa. Si tratta di provvedimenti un po’ da datati che andranno presi come base di riflessione e intrepretati anche alla luce di orientamenti di altre Autorità, ad esempio il sito web della CNIL, ricorda che spetta al titolare del trattamento delle immagini decidere il periodo di conservazione di questi dati: tuttavia, il periodo di conservazione non può superare i 30 giorni.
- Un altro caso è ad esempio quello dei trattamenti per fini di marketing. La scelta del titolare del trattamento dovrà essere adeguatamente documentata e motivata, se del caso anche facendo rinvio ai provvedimenti del Garante che, pur se non aventi portata generale, possono comunque fornire utili elementi per valutare la congruità dei tempi di conservazione. Un provvedimento, in particolare, che può costituire un primo architrave è quello sulle fidelity card del 24 febbraio 2025, il quale ha quantificato con precisione i tempi di conservazione in 24 mesi dalla registrazione, per la finalità di marketing e in 12 mesi dalla registrazione, per la finalità di profilazione.
Casi specifici di conservazione dati personali autorizzati
Da rilevare che i predetti termini sono stati ampliati sensibilmente in alcuni casi specifici, come ad esempio nel caso di Bulgari SpA, che a seguito di verifica preliminare presentata in data 29 novembre 2010 con Provvedimento del 24 aprile 2013, è stata autorizzata dall’Autorità a conservare i dati di profilazione dei clienti nel proprio sistema di Customer Relationship Management per un periodo massimo di dieci anni. Questo provvedimento ha fatto eccezione alla regola generale in virtù della specifica natura dell’attività di Bulgari e alla necessità di conservare i dati per periodi più lunghi per la profilazione della clientela di lusso.
Altra autorizzazione all’ampliamento dei predetti termini è stata concessa all’azienda TOD’s a seguito di verifica preliminare dove il Garante ha ritenuto che i predetti dati potessero essere conservati per un termine pari ad un massimo di sette anni, in quanto tale arco temporale è apparso congruo e proporzionato in relazione ai rischi degli interessati, in quanto nonostante i beni acquistati riguardino un genere particolare, di “fascia alta”, i singoli prezzi variano a seconda della tipologia di prodotto, partendo da importi, per una vasta categoria di articoli, non particolarmente elevati.
Gestione responsabile della conservazione dati personali
Da evidenziare che i provvedimenti considerati possono essere valutati solo nella metodologia di dell’analisi, posto che come noto il Regolamento non da più spazio alle verifiche preliminari con avallo della Autorità, ma dovranno essere i titolari in accountability a verificare a seguito di Data Protection Impact Assesment i trattamenti che profilano rischio significativo per le persone
Dal quadro sopra delineato, emerge come la gestione delle tempistiche di conservazione dati personali è complessa, ed occorrerà che tutti i soggetti impegnati nella privacy con la consulenza del DPO si adoperino per realizzare in maniera sostanziale il principio della “limitazione della conservazione” in trasparenza verso gli interessati, ricorrendo in maniera ragionevole evitando limiti lunghi di conservazione motivati solo da una valenza precauzionale per futura utilità, adottando by design e le necessarie/opportune misure di sicurezza come ad la pseudonimizzazione o la cifratura.
