Data retention policy, periodo di conservazione dei dati personali
Il Regolamento n. 679/2016 impone a ciascun titolare del trattamento di determinare il periodo di conservazione dei dati personali trattati. L’articolo 13 comma 2 lettera e) del Regolamento, infatti, precisa che, per mezzo dell’informativa privacy, il titolare deve comunicare all’interessato, tra le altre informazioni, anche il periodo di conservazione dei dati e, se ciò non è possibile, i criteri utilizzati per determinare tale periodo.
Al di là dell’informativa, fissare un termine, scaduto il quale i dati personali devono essere cancellati o comunque resi anonimi, rientra tra gli obblighi cui il titolare del trattamento deve adempiere per rispettare l’accountability, partendo dal fatto che, una volta eseguita la finalità del trattamento, i dati personali non possono essere più trattati, ma al più conservati rendendoli anonimi, ossia in modo tale da impedire l’identificazione dell’interessato o definitivamente cancellati.
In verità, la necessità di determinare il periodo di conservazione dei dati non è una novità del Regolamento n. 679/2016, già il vecchio Codice Privacy (D.Lgs. n. 196/2003), oggi modificato dal Decreto legislativo n. 101/2018, anticipava all’articolo 11, che i dati personali devono essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.
Ma come si fa a stabilire un termine al periodo di conservazione dei dati personali o a determinare i criteri utilizzati come richiesto dal Regolamento n. 679/2016
In alcuni casi, è la legge stessa a venire in soccorso. Così, ad esempio, l’articolo 2220 del Codice Civile rubricato “Conservazione delle scritture contabili”, fissa un termine di conservazione di dieci anni per tali documenti, stabilendo che “Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti”.
Stesso discorso vale per quei documenti che è necessario conservare per evitare di perdere le prove in un eventuale contenzioso. E, in tal caso, il riferimento è l’articolo 2946 del Codice Civile, il quale, salvo diverse previsioni di legge, fissa, sempre a dieci anni, la prescrizione ordinaria per far valere un diritto in giudizio. Si pensi, ad esempio, ai documenti riferiti ad un rapporto di lavoro, come le buste paga o i contratti o anche alla certificazione unica, in tal caso il limite per la conservazione è fissato a 7 anni, come prescritto dal D.P.R. n. 600/1973 articolo 43.
Secondo, invece, l’articolo 6 del D.M. 9 luglio 2018, il Libro Unico del Lavoro deve essere conservato per 5 anni dalla data di ultima registrazione; medesimo periodo temporale è prescritto per i dati riferiti alle presenze del lavoratore, mentre la cartella sanitaria di rischio del lavoratore deve essere conservata per dieci anni, secondo quanto disposto dall’articolo 25 comma 1 lett. e) del Decreto legislativo n. 81/2008.
Non sempre però è la legge a fissare un periodo chiaro di conservazione dei dati, in alcuni casi, la norma determina solo un periodo minimo di conservazione, lasciando al soggetto giuridico la scelta di prevedere un limite massimo di conservazione; in altri casi, invece è l’Autorità Garante per la protezione dei dati personali che, con propri provvedimenti, ha fissato un limite temporale per la conservazione dei dati. Ad esempio, le immagini raccolte dalle videocamere di videosorveglianza possono essere conservate per un periodo massimo di 48 ore, eventualmente allungabili fino a sette giorni, ma unicamente per esigenze organizzativo-produttive documentabili oppure per ragioni connesse alla sicurezza sul lavoro o per la tutela del patrimonio aziendale, anch’esse dimostrabili.
Spesso, la fissazione di un termine per la conservazione dei dati personali, è rimessa ad una decisione del titolare del trattamento e, in questo caso, la scelta temporale deve essere ragionevole e fondata su motivazioni di business valide e giustificabili.
Come procedere in tali circostanze per definire un periodo di conservazione “adeguato”?
Innanzitutto, occorre tenere sempre in considerazione il generale principio secondo cui, quando è raggiunta la finalità del trattamento, i dati devono essere cancellati (o resi anonimi) e per rendere effettivo il principio, occorre effettuare un’attenta valutazione dei trattamenti svolti nell’ambito del contesto organizzativo. Così, ad esempio, se un cliente scrive su una chat del customer service formulando una richiesta di informazioni, inserendo il suo nome e l’indirizzo email, non si ravvisa la necessità, salvo specifiche motivazioni ragionevoli, conservare quei dati, una volta che si è trasmessa la risposta alla domanda formulata. Al pari, se un’azienda inserisce un’offerta di lavoro specifica, i curricula dei candidati dovrebbero essere conservati per il periodo limitato alla selezione; al più si potrebbero conservare per un periodo ragionevole più lungo, purchè ragionevole non significhi illimitatamente e comunque informando i candidati e lasciando loro decidere con consenso espresso, se hanno interesse a rimanere iscritti nella banca dati aziendale per eventuali nuove selezioni.
E per quanto riguarda i dati acquisiti per finalità promozionale?
Anche in questo caso è opportuno compiere delle valutazioni, bilanciando gli interessi in gioco, è ovvio che se un cliente acquista periodicamente i prodotti dell’azienda e quindi continua a giovarsi delle offerte che la stessa azienda gli comunica, è evidente l’interesse a mantenere in essere il suo consenso al marketing, ma se ad esempio trascorso un anno/due dalla sua registrazione, il cliente non ha mai effettuato un acquisto, né ha manifestato alcun interesse alla nostra azienda o ai nostri prodotti/servizi, sarebbe opportuno prevedere delle procedure per chiedergli se è ancora interessato alle nostre offerte e dunque a mantenere un rapporto con noi, informandolo che i suoi dati stanno per essere cancellati, da qui è chiara l’importanza di fissare un termine di conservazione per tali dati, pena il mancato rispetto del principio di accountability.
Occorre, inoltre, ricordare che ogni valutazione circa l’individuazione dei termini di conservazione o i criteri di scelta, deve essere documentata. Il Regolamento n. 679/2016, infatti, richiede che le procedure adottate in merito ai dati personali relative a tutto il ciclo di trattamento, inclusa quindi la conservazione e i suoi termini, deve essere verificabile dal titolare del trattamento.
Le regole individuate per definire i tempi di conservazione dei dati devono essere ragionevoli e basate su parametri oggettivi, come la specifica finalità del trattamento e la base giuridica che lo rende legittimo. E’ consigliabile, pertanto, utilizzare un registro dettagliato che differenzi i vari trattamenti, riportando il periodo di conservazione e la motivazione che lo ha determinato, sia essa una norma di legge, un provvedimento del Garante, piuttosto che una scelta aziendale, accompagnando tale registro da un Regolamento interno (policy) che definisca precisamente i criteri utilizzati e che consenta a chiunque operi sui dati personali nel contesto organizzativo di sapere come muoversi ed essere informato chiaramente sulle scelte aziendali rispetto alla conservazione dei dati personali trattati.