Uno degli adempimenti espressamente richiesti dal GDPR – con un significativo impatto sia dal punto di vista organizzativo (per la necessità di definire delle policy ad hoc) sia dal punto di vista tecnico, per gli interventi richiesti sui sistemi informatici aziendali – è quello legato alla definizione dei tempi di conservazione dei dati personali ed alla loro conseguente cancellazione al termine del periodo previsto per il trattamento.
Per esperienza personale, questa previsione normativa coglie quasi tutti i miei interlocutori di sorpresa, generando in loro reazioni varie: di stupore, di incredulità e, per qualcuno, addirittura, di fastidio (quest’ultima sensazione coglie, per lo più, coloro che si prefigurano i costi).
Quando, infatti, pongo al cliente la fatidica domanda (“dopo quanto tempo cancellate i dati personali conservati nei vostri database?”), nella migliore delle ipotesi mi rispondono un orgoglioso: “mai!“; il più delle volte, mi guardano come se fossi il più ottuso dei legali: “ma, avvocato, perché mai dovrei cancellarli? Tutti i dati che ho, me li tengo…sono i miei clienti, i miei fornitori, i miei consulenti, i miei referenti, …anche quelli che oggi non uso…sai mai che tra dieci anni mi torni utile avere quel nominativo là…“.
L’episodio più divertente, al riguardo, mi è successo solo pochi giorni fa, leggendo le risposte ad un breve questionario che avevo inviato ad un’impresa: nel questionario chiedevo: “dopo quanto tempo verificate e/o cancellate i dati personali conservati nei vostri database?”. Mi hanno risposto mettendo a fianco della mia richiesta un bel punto di domanda blu!
In base alle mia esperienza sul campo, insomma, mi sembra di poter constatare che, nella stragrande maggioranza dei casi, nessuno cancella nulla; tutti conservano tutto.
Le motivazioni, come immaginabile, sono collegate soprattutto al timore di disfarsi di dati che “potrebbero essere utili in futuro” (e, magari, non lo saranno mai, come certi capi dismessi che conserviamo da anni nell’armadio come reliquie): vecchi contatti di persone incontrate nel corso di un determinato progetto, oppure clienti passati e mai più tornati o, ancora, persone che si sono dimostrate interessate ai nostri prodotti ma, poi, rimasti nella categorie dei potenziali acquirenti.
Inoltre, cancellare e/o aggiornare i vecchi dati richiede tempo e le aziende, si sa, di tempo non ne hanno mai abbastanza, figuriamoci per fare pulizia degli archivi, soprattutto quando non ci sono problemi di storage!
E, così, si conserva tutto e, se non vi è una ragione commerciale specifica, spesso la conservazione dei dati personali avviene senza neppure badare ad aggiornare periodicamente ciò che si custodisce e si stratifica anno dopo anno, files dopo files, campagna promozionale dopo campagna promozionale, telefonata dopo telefonata, senza soluzione di continuità dai tempi più remoti fino a oggi.
A prescindere da ogni valutazione in ordine alla concreta utilità, per un’azienda, di conservare dati dormienti e/o inattivi da molti anni (ancora mi chiedo perché la palestra che frequentavo 12 anni fa quando vivevo a 30 km di distanza da dove risiedo oggi insista nel mandarmi sms promozionali a cui non ho mai risposto negli ultimi dieci anni!) – questo modo di concepire la conservazione dei dati, con l’entrata in vigore del GDPR, è destinata diventare un mero retaggio del passato.
Il GDPR prevede, infatti, alcune norme molto chiare in tema di conservazione dei dati personali:
- considerando n. 39: “… i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario (…). Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. E’ opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati“;
- art. 5, lettera e): “i dati personali sono … conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica …”;
- artt. 13 e 14, comma 2, lettera a) (informativa): “…il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo“.
Dal 25 maggio 2018 ogni azienda, società o altro tipo di ente dovrà, quindi, adeguarsi a tale principio, stabilendo la propria policy in tema di cancellazione o anonimizzazione dei dati, nel momento in cui la conservazione degli stessi non sia ulteriormente giustificata.
D’altra parte, il Garante italiano si era già espresso in tal senso con alcune pronunce relative alla conservazione dei dati personali raccolti con finalità di marketing, invitando le aziende, nell’ambito della propria autonomia organizzativa, a prevedere una durata predeterminata.
Nel caso di clienti/acquirenti di prodotti realizzati da un imprenditore, la conservazione dei dati personali relativi a quei soggetti che si siano resi acquirenti può sicuramente durare finché sussista un interesse giustificabile e, cioè, finché la loro conservazione risulti necessaria agli scopi per i quali sono stati raccolti e trattati: quindi, ad esempio, fino al termine della garanzia offerta.
Il tempo di conservazione di un dato è, in generale, intrinsecamente legato alla finalità del trattamento e ciò può comportare che il medesimo dato, se utilizzato per differenti finalità, possa avere tempi di conservazione diversi, che devono pertanto essere opportunamente gestiti dall’imprenditore, oltre che comunicati nell’informativa.
Si può, quindi, verificare, ad esempio, una situazione in cui il dato raccolto dall’imprenditore, per una certa finalità sarà conservato 5 anni e per un’altra finalità 10 anni: in questo caso, sarà necessario stabilire, dal punto di vista tecnico, il tipo di intervento da mettere in atto, anche in funzione della specifica architettura informatica degli archivi del titolare del trattamento.
Se, infatti, lo stesso dato è replicato in archivi diversi, si potrà procedere alla cancellazione del dato nell’archivio relativo alla finalità che si esaurisce in 5 anni e lasciarlo nell’archivio relativo alla finalità che si conclude in 10 anni.
Se, invece, il dato è presente in un solo archivio, sarà necessario impedire il suo uso per la prima finalità al termine dei 5 anni, revocando, per esempio, le credenziali di accesso ai soggetti e/o alle applicazioni che svolgono tale finalità.
In ogni caso, il titolare del trattamento dovrà essere in grado di dimostrare l’efficacia, sotto questo profilo, del tipo di intervento prescelto.
In merito alla determinazione dei tempi di conservazione, questa può avvenire in base ad una normativa o anche solo in base ad una valutazione del titolare del trattamento (soprattutto quando non esista una specifica norma).
In questo secondo caso, però, il titolare del trattamento dovrà essere in grado di giustificare i tempi di conservazione da lui prescelti, riferendosi anche, là dove esistano, a provvedimenti dell’Autorità Garante su analoghe situazioni; oppure si potrebbero prevedere termini di conservazione più ampi di quelli ritenuti ragionevoli se vi fosse la fondata necessità di difendersi in giudizio da potenziali pretese giudiziarie con termini di prescrizione molto lunghi).
Le analisi da compiere per giungere alla decisione di:
- cosa conservare;
- per quanto tempo
sono articolate e complesse e variano per ciascuna realtà imprenditoriale.
In ogni caso, è opportuno che ogni azienda adotti una propria policy che conduca alla redazione di un documento, da aggiornare periodicamente, in cui sia chiaramente indicata la propria scelta in tema di conservazione dei dati, stabilendo, nel dettaglio, le scadenze da rispettare nella conservazione dei dati personali nelle diverse ipotesi che potrebbero verificarsi.
Nella stesura di tale documento, l’imprenditore dovrà tener conto delle esigenze di ciascuna area aziendale in tema di trattamento dei dati, per adottare misure e tempi di conservazione in grado di bilanciare i propri interessi con il rispetto dei diritti riconosciuti dal GDPR agli interessati.