Ramona Cavalli
Tra i requisiti per il trattamento dei dati personali, il Regolamento UE n. 679/2016 prevede l’obbligo di conservazione degli stessi, lasciando ai soggetti, che trattano i dati, il dovere di predisporre corrette procedure per la loro conservazione a seconda del settore di riferimento. L’articolo fornisce opportune indicazioni per l’individuazione di una corretta procedura di conservazione dei dati personali.
Il principio sotteso nel Regolamento UE n. 679/2016, noto come GDPR, è stato quello di ridurre gli obblighi di riservatezza in caso di ricerca scientifica, sul presupposto della prevalente utilità ed interesse della stessa rispetto al diritto alla riservatezza[1]. Ciò si evince, in particolare, dall’art. 9 del GDPR, che legittima il trattamento di dati particolari ai fini di archiviazione di pubblico interesse o di ricerca scientifica, a condizione che sia assicurato l’obbligo di informativa all’interessato, ai sensi degli artt. 13 e 14 GDPR; il rispetto del principio della minimizzazione dei dati (art. 5 GDPR); l’adozione di misure adeguate, quali la pseudonimizzazione e l’anonimizzazione del dato[2]; ed, infine, il tempo di conservazione dei dati (c.d. data retention), da comunicare all’interessato (art. 13) e nel registro (art. 30).
In particolare, quest’ultima è retta dai principi della limitazione della conservazione, secondo cui l’arco temporale nel quale i dati possono essere conservati dal Titolare del trattamento deve essere rapportato alle finalità specifiche per le quali sono stati raccolti, e della minimizzazione del trattamento, per il quale i dati devono essere in relazione con le finalità per cui sono raccolti, sufficienti e adeguati allo scopo del trattamento, necessari, non eccedenti e proporzionali, esatti, e conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5.1, lett. e), GDPR). La esigenza di stabilire un periodo di conservazione dei dati, invero, nasce in materia normativa sui sistemi di gestione, e viene richiamata solo sul piano concettuale nell’ambito della sicurezza delle informazioni (cfr. ISO/IEC 27001).
In assenza di criteri ufficiali emanati dal Garante della privacy sul tema, per il corretto computo del periodo di conservazione dei dati occorre tenere conto degli obblighi di legge (normative nazionali ed internazionali), delle pronunce giurisprudenziali, dei provvedimenti del Garante ovvero delle indicazioni fornite dalle Associazioni di categoria, o altri soggetti che più di altri conoscono le esigenze di quello specifico settore di riferimento, dei contributi apportati dalla dottrina, nonché dalla casistica che pone al centro la tutela dell’interessato, e la salvaguardia dei contenuti degli archivi storici [3].
Da quanto sopra è possibile individuare una corretta procedura di conservazione e distruzione dei dati[4] che, principalmente, dovrà contenere le modalità di comunicazione e diffusione della “politica di conservazione dei dati” all’interno dell’ente, attraverso una apposita formazione per gli autorizzati e di successivo audit. Il Titolare del trattamento potrà, altresì, pubblicare tale documento su piattaforme web di suo dominio per una maggiore conoscenza di tutti gli interessati.
Particolare sarà la previsione di un sistema di controllo, tramite il quale per ogni ufficio/area funzionale i soggetti designati (interni o esterni) dovranno controllare periodicamente, ad esempio attraverso uno scadenzario, la presenza di dati archiviati il cui periodo di conservazione sia giunto allo scadere, con la conseguente cancellazione, ovvero la conservazione per quei dati necessari da dover tenere illimitatamente.
Per quanto attiene alla cancellazione dei dati, il Titolare del trattamento dovrà adottare dei metodi di distruzione concordati ed approvati con i tecnici, o meglio process owner, utilizzabili per ogni tipo di informazione archiviata su supporti elettronici/multimediali (come chiavette USB ed altri tipi di supporti mobili, devices, drive portatili o database registrati o copie di back-up, archivi in cloud).
Altro aspetto rilevante della procedura è la modalità di diffusione della policy, attraverso la sua pubblicazione sulla rete aziendale intranet, tramite affissione in bacheca, nonché la pubblicazione dei documenti, o degli estratti, da parte del Titolare del trattamento anche su piattaforme web di suo dominio onde porla a conoscenza di tutti gli interessati.
Inoltre, dovranno essere menzionate le prassi da rispettare per limitare la duplicazione dei dati e degli archivi contenenti dati anche su supporti diversi, sia le modalità di comunicazione verso i Responsabili che trattano dati per conto del Titolare, secondo le istruzioni ricevute proprio da quest’ultimo.
Infine, la procedura indicherà le sanzioni in caso di violazione delle suddette misure, individuate nella sospensione, o revoca, dell’accesso individuale ai sistemi informatici o agli archivi dell’Azienda, nelle procedure disciplinari fino ad eventuali azioni legali.
Mentre per la gestione degli archivi informatici occorrerà seguire le specifiche procedure in base alle tecnologie utilizzate, per quella relativa alla gestione dei soli archivi cartacei, invece,
potrebbero essere individuate almeno cinque aspetti principali:
- la gestione delle quattro fasi di creazione, consultazione, archiviazione, distruzione;
- il luogo di conservazione/archivio fisicoe, laddove necessario, la gestione dell’accesso in forma controllata, col che tale procedura andrebbe integrata con altra relativa alla gestione delle chiavi e dei badge per l’accesso ai locali o agli archivi contenenti tali archivi;
- la responsabilitàsotto la quale viene conservato l’archivio (funzione/area/ufficio);
- le misuremesse in atto onde evitare il danneggiamento, o la perdita dei documenti, a causa ad esempio di eventuali allagamenti, incendi, presenza di roditori;
- l’indicazione dei tempi/criteri di conservazione, che devono essere congruenti con quelli riportati nel registro del trattamento (ex art. 30 Reg. UE) e nella informativa (ex artt. 13 e ss cit Reg), anche nel caso in cui lo stesso documento sia conservato in archivi diversi o sotto differenti responsabilità durante il suo ciclo di vita;
- specifiche misure organizzative nel caso di archiviazione presso un fornitore esterno, che fornisce servizi di gestione documentale e/o di distruzione dei dati, che opportunamente potrà essere attestata in un apposito verbale;
- infine, l’individuazione delle responsabilità e dei tempi per la distruzione dei dati con le relative modalità.
[1] Cfr. GIANVECCHIO S, MARTINI N., Ricerca scientifica italiana danneggiata dalle norme privacy? Il problema, in
[2] Cfr. CAVALLI R., Anonimizzazione del dato: le tecniche possibili, in https://www.iusinitinere.it/anonimizzazione-del-dato-le-tecniche-possibili-26388.
[3] Si ricorda che il periodo di conservazione è diverso dal periodo di prescrizione, che si riferisce alla estinzione di un diritto che il titolare non esercita entro il termine di legge.
[4]Cfr. PEREGO M., PONTI C., Conservazione dei dati: criteri e criticità (nell’incertezza normativa), in https://www.agendadigitale.eu/sicurezza/privacy/conservazione-dei-dati-criteri-e-criticita-nellincertezza-normativa/.
