Conservazione dei dati personali
Su Agenda Digitale è stato pubblicato l’approfondimento “Conservazione dei dati: criteri e criticità (nell’incertezza normativa)”, a firma di Monica Perego e Chiara Ponti. Nell’abstract si legge quanto segue: “Non esistono, al momento, criteri ufficiali volti a stabilire in modo uniforme modalità e tempi di conservazione dei dati personali. In assenza di altre soluzioni proviamo a fornirli, con le criticità che portano con sé, alla luce dell’esperienza maturata nel settore e sulla base dell’analisi di molteplici contesti”. A seguire l’introduzione:
Il periodo di conservazione dei dati personali – cosiddetta data retention – è uno degli elementi basilari della protezione dei dati. È pertanto di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali, e le conseguenti criticità.
Criteri volti a stabilire in modo uniforme modalità e tempi di conservazione secondo parametri ufficiali la cui definizione spetta all’Autorità garante che dovrebbe inoltre sollecitare i vari portatori di interesse (associazioni di categoria, ordini professionali) a fornire indicazioni che possano fungere da base comune per la definizioni di prassi condivise e che riducano il libero arbitrio.
Cosa si intende per data retention
Precisiamo anzitutto che cosa si intenda per “data retention”, e come nasca l’esigenza di stabilire un periodo di conservazione oltre il quale i dati personali debbono essere cancellati.
Per “data retention” si deve intendere, appunto, il “periodo di conservazione dei dati”. Il Regolamento UE n. 679/2016 (GDPR), non ha previsto sostanzialmente nulla di nuovo rispetto al Codice Privacy (D.lgs. 196/2003) il quale già contemplava, all’art. 11, che i dati personali dovessero essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”, per quanto non ne richiedesse la comunicazione esplicita all’interessato.
La esigenza di stabilire un periodo di conservazione dei dati, invero, nasce in materia normativa sui sistemi di gestione, che trova una declinazione specifica nell’ambito della sicurezza delle informazioni (cfr. ISO/IEC 27001). Si tratta, infatti, di un tempo conservativo, come lo è richiesto ad esempio per i dati di backup.
I principi sottesi
° Principio della limitazione della conservazione
Ai sensi e per gli effetti di cui all’art. 5, paragrafo 1 lett. e) il Regolamento stabilisce il principio della limitazione della conservazione secondo cui, l’arco temporale nel quale i dati possono essere, dal Titolare del trattamento, conservati deve essere rapportato alle finalità specifiche per le quali sono stati raccolti.
- Principio di minimizzazione
Dal combinato disposto di cui agli artt. 5 e 6 del GDPR cioè a dire dalle condizioni di liceità e finalità –che, si rammenta, devono essere determinate, esplicite e lecite- nei limiti di quanto necessario per il raggiungimento dello scopo per i quali i dati sono stati raccolti, nasce il principio di minimizzazione del trattamento. Si tratta di una delle fondamenta dell’intero impianto normativo stabilendo come i dati debbono essere: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Tipologia di archivi e conservazione dei dati: aspetti e modalità
I dati sono generalmente conservati in archivi che si distinguono in cartacei ed elettronici.
In questa sede si ritiene utile approfondire la conservazione di dati in archivi automatizzati concepiti per contenerli/conservarli e non certo per cancellarli. Al di là del fatto che il vero problema del dato informatizzato risieda proprio nella sua impossibilità ontologica di essere completamente distrutto.
In pratica, non è possibile garantire una cancellazione/distruzione completa a differenza di come avviene con il dato cartaceo il quale può essere completamente distrutto nel trita-documenti, ad esempio.
Conservazione dei dati: criteri e criticità…