La data retention, il periodo di conservazione dei dati, rappresenta una grande sfida per ogni azienda che tratta dati personali e particolari di persone fisiche. Infatti la responsabilizzazione di ogni azienda verso questo argomento, tanto essenziale quanto delicato e soggetto a molteplici variabili, mette in campo situazioni e criteri che non possono costantemente seguire la legge in modo asettico e robotico.
Innanzitutto, perché il GDPR non sancisce in modo specifico e preciso (come in tanti altri aspetti) cosa il Titolare debba esattamente fare, come, quando, perché o ogni quanto. Inoltre, perché soprattutto analizzando aziende di dimensioni e complessità medio-grandi, o multinazionali guidate dunque da disposizioni e regole internazionali, definire il tempo corretto di conservazione di un dato e la corretta e totale cancellazione e anonimizzazione in modo irrevocabile è una questione ben più ardua di quanto si possa immaginare.
Indice degli argomenti
La normativa di riferimento
Va ricordato innanzitutto che la data retention considerata informazione essenziale dalle norme del GDPR, anche se spesso con tale termine ci si riferisce alla Direttiva Data Retention del 2006, che è stata poi invalidata dalla Corte di Giustizia europea. La direttiva europea 2006/24/CE del Parlamento europeo e del Consiglio, infatti, regolamentava la conservazione (compreso i tempi) di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione. Adottata in seguito agli attentati di Londra e Madrid del 2004 e 2005, tale legge regolava le disposizioni degli Stati membri dell’UE sulla conservazione dei dati che riguardano le conversazioni telefoniche ed il traffico telematico garantendone, quindi, la disponibilità a fini di indagine e di perseguimento di gravi reati.
L’Alta Corte irlandese e la Corte Costituzionale austriaca sollevarono la questione della legittimità della direttiva, alla luce della normativa europea, dinanzi alla Corte di Giustizia europea, che con sentenza dell’8 aprile 2014 dichiarava l’invalidità della direttiva stessa, e quindi l’inefficacia fin dalla sua entrata in vigore. Secondo la Corte europea la direttiva risultava, infatti, sproporzionata rispetto all’obiettivo, censurandone la natura non “mirata” della misura di sorveglianza e la possibilità di acceso indiscriminato da parte delle autorità ai dati conservati (in effetti, la sentenza della Corte è contro la sorveglianza digitale di massa). L’articolo 13 del regolamento europeo 2016/679 (GDPR), rappresenta, dunque, una “non novità” considerando sia quanto sopra descritto sia il fatto che già nel vecchio Codice Privacy (D.lgs. 196/2003) si prevedeva all’articolo 11 che i dati personali devono essere: “Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.
Concetti odierni e modus operandi
In ogni caso, è giusto ricordare che ad oggi questo è quanto previsto dalla normativa europea: “…Il titolare del trattamento deve informare gli interessati circa il periodo di conservazione dei dati personali, oppure, se ciò non è possibile, almeno dei “criteri utilizzati per determinare tale periodo” (comma 2, lettera a). Inoltre, l’articolo 5 lettera e stabilisce che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (qui si richiama il principio della limitazione della conservazione)”.
La vera rivoluzione non sta nel testo della norma in sé, proposto e rivisto nell’arco degli ultimi 6 anni, ma nell’adottarlo, nel farlo proprio tramite un lavoro a volte titanico di aderenza al proprio business. Il tempo di conservazione dei dati va valutato, infatti, in relazione alla finalità del trattamento. Per dovere di completezza, si specifica che la finalità del trattamento prevede che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso.
La finalità risponde alla domanda “perché” trattare i dati. I dati devono essere raccolti per finalità determinate, esplicite e legittime. Il titolare del trattamento deve, dunque, stabilire prima dell’inizio del trattamento gli scopi (che non devono essere generici o indefiniti o illimitati) in base ai quali ha intenzione di raccogliere e trattare i dati personali, deve comunicare in maniera chiara e comprensibile (principio di trasparenza) agli interessati tali finalità a mezzo dell’apposita documentazione (informativa) che deve essere portata a conoscenza dell’interessato, in modo da permettere all’interessato di fornire un consenso informato, e messa a disposizione a fini di ispezione da parte delle autorità di controllo.
Considerando che in assenza della precisazione della finalità, il trattamento è dichiarato illegittimo, si potrà ben comprendere quanto sia stretto il legame tra finalità e periodo di conservazione dei dati. A diverse finalità, infatti, sottostanno diversi termini di conservazione. Alcuni tempi sono stabiliti da leggi specifiche (ad esempio le norme per i fornitori di servizi telefonici o telematici) oppure obblighi contrattuali (ad esempio i dati fiscali), altri sono stabiliti direttamente dal titolare (principio di accountability).
Il tempo di conservazione del dato
Ovviamente il tempo di conservazione infinito non è ammissibile, deve essere sempre limitato e deve essere necessariamente proporzionato alla finalità medesima. Va quindi doverosamente precisato che alcuni dati possono essere conservati per gli adempimenti relativi alla garanzia di un prodotto, o anche per tutelarsi in vista di possibili contenziosi. In quest’ultima specifica fattispecie si dovrà fare riferimento ai termini di prescrizione dell’azione giudiziaria corrispondente, aumentati del periodo correlato agli adempimenti necessari (deposito atti giudiziari, ecc…). In caso di contenzioso, quindi, si ha un cambio di finalità di trattamento, per cui il termine di conservazione è separato da quello originario.
Alla scadenza del termine di conservazione il dato va cancellato (ovviamente da tutti i supporti, compreso i backup), oppure in alternativa anonimizzato. Da questo punto si apre un mondo composto da scelte da parte del titolare del trattamento dei dati, e che vanno documentate opportunamente, nel registro dei trattamenti o in altri documenti.
L’applicazione in azienda
Nell’incertezza che ancora aleggia ad oggi tra le aziende italiane, in costante bilico tra la necessità di essere compliant alla legge e le difficoltà di dedicare tempo, investimenti, e risorse alla Privacy, munirsi di quanto descritto sopra (“…altri documenti”) è quantomeno il primo passo per gestire adeguatamente un topic tanto spinoso quanto importante nella sua ratio. La creazione di una policy di data retention aziendale deve tenere in debito conto il bilanciamento tra esigenze di business e reale necessità di mantenere i dati attivi. Un dato contrattuale, infatti, non ha le stesse necessità di conservazione di un dato legato, per esempio, alla posizione lavorativa di un ex dipendente.
Ancora, un dato correlato a necessità statistiche non potrà avere la stessa valenza di un dato di marketing (chi non è stato almeno una volta ripetutamente interpellato da telefonate promozionali da parte di società che dispongono di numeri telefonici o indirizzi di posta elettronica probabilmente acquisiti anni prima?). Senza dubbio l’attenzione da porre per determinare cosa sia veramente necessario tenere e per quanto tempo crea la struttura, l’architettura temporale entro cui muovere le mosse tecnico-applicative della cancellazione/anonimizzazione irreversibile. Già, perché quando si tratta di cancellare, ci si imbatte in casi come quelli di un’applicazione come SAP, ad esempio, dove cancellare dati presenti nelle proprie tabelle, per un noto rischio di creazione di “zombie” (buchi di informazione nelle tabelle), comprometterebbe il funzionamento delle stesse, oppure un crack a catena della sequenza di dati a cui quello cancellato è collegata=impossibilità di usare il sistema.
SAP si è mossa in tal senso, già da tempo, adottando il principio alternativo dell’anonimizzazione, “…una tecnica che viene applicata ai dati personali in modo tale che le persone fisiche interessate non possano più essere identificate in nessun modo…”.Non è l’unica azienda che si deve e dovrà reinventare in tal senso, perché far sparire in modo permanente un dato, infatti, costringe a navigare in un mare non esattamente piatto. Questo perché applicazioni/software/soluzioni sono state sviluppate in molti casi ben prima del GDPR (ed in molti casi ben prima di una serie di leggi e provvedimenti che riguardano la Privacy, il logging degli amministratori di sistema, ecc.).
Titolare e Responsabili del trattamento
Dunque, finalità specifiche del trattamento, corretto e minimale tempo di conservazione necessario, azioni di cancellazione del dato irreversibile… ma tutto questo deve essere svolto esclusivamente dal Titolare del trattamento? La risposta è affermativa per ciò che riguarda l’accountability sui propri dati, conoscendone finalità e corretto tempo di conservazione, ma l’ulteriore azione che può svolgere un Titolare è quello di scegliere soluzioni che a loro volta devono essere compliant alla GDPR.
Le terze parti che forniscono servizi, che trattano dati di aziende titolari, devono fornire soluzioni che nascano compliant, che abbiano nel loro DNA i concetti di anonimizzazione, cancellazione sicura, pseudonimizzazione (definita, nel disposto dell’art. 4 Punto 5 del GDPR, come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive…”. Non è più concepibile, secondo l’opinione di chi scrive, che dopo due anni dall’adozione del Regolamento europeo in materia di protezione del trattamento dei dati personali, vi siano ancora aziende che quasi non sanno di cosa si parla quando vengono interpellate sul tema.
Non è più ammissibile che il Titolare si ritrovi quasi da solo a dover cancellare, anonimizzare, pseudonimizzare, proteggere i propri dati partendo dal punto di vista della fonte dei dati, e non da quello della destinazione degli stessi (le soluzioni outsourcing, i software esterni, le terze parti). Sicuramente re-ingegnerizzare intere applicazioni per essere compliant alla GDPR non è compito facile, tanto che in alcuni casi vengono più agevolmente sviluppate soluzioni nuove, che aggiungono nuove funzionalità unitamente all’esigenza dell’essere a norma. Questo, però, non significa non doversi rimettere in gioco poiché già ampiamente presenti sul mercato e quindi “intoccabili” piuttosto che mascherare un leggero restyling come la soluzione a tutti i problemi della Privacy. Titolare e responsabili del trattamento devono collaborare, con una massiccia dose di proattività bilaterale, per rispettare i diritti degli interessati e svolgere in ogni ambito di applicazione (manifacturing, health & care, financial, procurement, legal, ecc.) il compito che sono TUTTI chiamati ad assolvere: tenere i giusti dati per il tempo che serve, poi eliminarli…per sempre.
