Tra le novità apportate dal Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (meglio noto come “GDPR”), vi è l’esplicita previsione del divieto di conservare gli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento.
In realtà, una simile previsione non risulta del tutto innovativa rispetto alla disciplina previgente: il trattamento dei dati personali delle persone fisiche è sempre stato improntato, infatti, ai principi di necessità e finalità del trattamento, secondo i quali i dati raccolti non possono essere trattati per un tempo ulteriore rispetto a quello strettamente necessario allo scopo della raccolta.
All’art. 5, comma 1, lett. e), del GDPR è previsto che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Una siffatta previsione non può che tradursi nell’obbligo per il titolare del trattamento di provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo, non potendo essere conservati per periodi ulteriori.
Il Regolamento, infatti, consente di trattenere i dati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd. principio di “limitazione della conservazione”).
Tra tali misure l’art. 89 del GDPR menziona la pseudonimizzazione. Occorre, però, chiarire come tale tecnica non consenta di rendere anonimi i dati personali: ai sensi del considerando 26 “i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile (…) i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca. Dunque, alla ricorrenza della pseudonimizzazione si è comunque in presenza di un trattamento di dati personali, giustificato dalle peculiari finalità espressamente indicate dal Regolamento
In particolare, l’art. 6, comma 4, consente il trattamento di dati per finalità ulteriori rispetto a quelle dichiarate nell’informativa resa all’interessato, tenuto conto di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento, della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali, oppure se siano trattati dati relativi a condanne penali e a reati, delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati, nonché dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
Archiviazione per pubblico interesse
Ai sensi del Considerando 50, tra le finalità ulteriori vengono annoverate l’esecuzione di un compito di interesse pubblico o l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, nonché l’archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici.
Tali disposizioni devono essere lette in combinato disposto con l’art. 17, par. 3, lett. d), che, nel prevedere la limitazione del diritto dell’interessato a richiedere al titolare del trattamento la cancellazione dei propri dati nel caso della ricorrenza delle finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o di fini statistici, richiama l’articolo 89, paragrafo 1: in pratica, tale deroga è consentita ma previo impiego delle misure di pseudonimizzazione e minimizzazione richiamate.
Ciò detto sulle possibili deroghe, in generale, la disciplina in esame inevitabilmente comporta un obbligo di verifica, per il titolare del trattamento, dei database impiegati (inclusi vecchi sistemi o backup), sì da verificare se la sua organizzazione dispone di determinate categorie di dati personali non più impiegate o impiegabili: la conservazione, in questo caso, sarebbe infatti ingiustificata e potrebbe esporre l’interessato ad un utilizzo dei suoi dati per finalità non autorizzate, come si dirà nel seguito.
Diritto di cancellazione
Dunque, i titolari del trattamento sono formalmente obbligati a prevedere apposite procedure per garantire la cancellazione dei dati. Dalle piccole medie imprese ai grandi gruppi imprenditoriali vi è l’esigenza di costruzione di un processo di gestione.
La cancellazione potrà avvenire al raggiungimento delle finalità per cui il dato personale è stato trattato ma anche su richiesta dei soggetti interessati in esercizio del relativo diritto di cui all’articolo 17 del GDPR (il diritto alla cancellazione o “all’oblio”).
I soggetti interessati hanno, infatti, il diritto di chiedere che siano cancellati i propri dati personali non più necessari alle finalità per le quali sono stati raccolti o altrimenti trattati. Tale diritto è in particolare rilevante se l’interessato, avendo prestato il proprio consenso quando era minore e, quindi, non pienamente consapevole dei rischi derivanti dal trattamento, voglia poi eliminare i propri dati personali, in particolare da Internet, fermo restando che tale diritto può essere esercitato anche da chi non sia più un minore.
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Il diritto di cancellazione non si applica qualora il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo di legge, ai fini di archiviazione nell’interesse pubblico, di ricerca scientifica o storica o a fini statistici, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
La posizione del Garante
Tuttavia, le limitazioni al diritto di cancellazione non possono essere applicate indistintamente: sul punto, non può non menzionarsi il provvedimento dell’Autorità Garante del 1 febbraio 2018, in materia di conservazione della posta elettronica aziendale.
In quell’occasione, il Garante ha avuto modo di precisare che lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto alla attività di sistematica ed estesa conservazione delle comunicazioni elettroniche. Analoghe considerazioni sono state svolte con riferimento al trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio: chiarisce il Garante che deve trattarsi di contenziosi in atto o di situazioni precontenziose, non di astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti. Dunque non è possibile conservare dati personali sulla scorta di un ipotetico giudizio.
Quando si parla di cancellazione si intende l’eliminazione di tutti i dati, sia in formato digitale che cartaceo, purché di natura personale, vale a dire riferiti ad una persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione (ivi compreso un numero di identificazione personale, anche online).
Parte dei dati raccolti dal titolare potrebbero essere conservati nei sistemi di soggetti terzi (es. aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e di servizi cloud e di backup) che, in qualità di autonomi titolari o di responsabili del trattamento nominati dal titolare, devono essere coinvolti nel processo di cancellazione, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.
Nel caso in cui la cancellazione sia conseguenza dell’esercizio del diritto, previo riscontro all’interessato entro il termine di trenta giorni stabilito dalla normativa (e secondo la procedura di gestione delle richieste degli interessati internamente adottata), il titolare dovrà, quindi, provvedere fisicamente all’azione per la distruzione dei dati. Diversamente, in tutti gli altri casi, il titolare deve predisporre un meccanismo di “autodistruzione” del dato divenuto superfluo.
I tempi massimi di conservazione dei dati
Ma quali sono i tempi massimi di conservazione dei dati?
La politica relativa alla data retention deve esser predisposta dal titolare con particolare attenzione tenuto conto di quanto stabiliti da norme di legge, dai provvedimenti del Garante nonché dalla giurisprudenza sviluppatasi in materia di conservazione e cancellazione di dati personali.
Nella prassi, la definizione dei tempi di conservazione dipende sempre dalla tipologia di dati e dalla finalità per cui gli stessi sono raccolti e trattati, come esattamente delineate nelle informative fornite agli interessati.
Alla scadenza dei termini di volta in volta previsti dalle norme di legge o da policy aziendali, o a seguito di richieste di oblio da parte degli interessati, il titolare dovrà adottare idonee misure di distruzione o di anonimizzazione di qualsiasi copia, cartacea o digitale, dei dati coinvolti, fermo restando che i medesimi dati potranno continuare ad essere conservati ed utilizzati in chiaro in altri settori aziendali che perseguano finalità per cui non è (ancora) prevista la relativa cancellazione.
Il tema è quello dell’efficacia della procedura adottata: non solo il titolare dovrà predisporre il flusso per la distruzione dei dati (che potrà avvenire in modalità automatica o, in alternativa, previa approvazione da parte di un referente interno), ma dovrà, inoltre, assicurarsi che la cancellazione sia effettiva, anche attraverso un’attività di testing del modello prescelto, non soltanto preventivo ma anche attraverso la previsione di verifiche periodiche.
L’immediata azione di cancellazione nel caso di esito positivo della verifica effettuata risponde all’esigenza del titolare di non incorrere nelle sanzioni previste per illiceità del trattamento, conseguenti all’utilizzo dei dati raccolti per finalità ulteriori in assenza del consenso esplicito dell’interessato o in alternativa in assenza della ricorrenza di una delle finalità ulteriori ammesse dal Considerando 50 del GDPR, o ancora per la ricorrenza di una di queste e l’omessa adozione delle misure di pseudonimizzazione e minimizzazione richieste.
Ricordiamo, infatti come le sanzioni amministrative previste per l’inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9, nonché dei diritti degli interessati a norma degli articoli da 12 a 22, possono arrivare sino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Evidente dunque, con l’entrata in vigore del Regolamento, non si sia in presenza di singoli oneri ed obblighi, dal momento che le novità introdotte sono tra loro connesse: l’approccio proattivo del titolare, richiesto dal principio dell’accountability, consiste anche nel far dialogare gli adempimenti di sua gestione, quali la conservazione e cancellazione dei dati, le violazioni di dati personali, l’esercizio dei diritti degli interessati.
