GDPR, come garantire l'accountability se l'azienda esagera con la conservazione dei dati - Cyber Security 360

GUIDA NORMATIVA

GDPR, come garantire l’accountability se l’azienda esagera con la conservazione dei dati

Le aziende spesso superano i termini previsti per la data retention relativamente ai documenti dei dipendenti, ma il GDPR prevede che prima o poi i dati debbano essere eliminati: ecco come far fronte al problema e permettere alle imprese di essere compliant al regolamento

26 Ago 2021
N
Anna Nardon

Privacy Legal Specialist, Larese & Associati srl

Capita molto spesso che le aziende conservino la documentazione del personale oltre gli obblighi di legge previsti sulla base di una ratio che a volte prevarica i principi fondamentali del GDPR relativamente alla data retention. Il problema è che siamo affezionati (passatemi il termine) ai nostri e altrui dati e non riusciamo a dare un termine di scadenza ai dati, invasi dalla preoccupazione: e se un giorno dovessero servirmi? Ma il GDPR ci vuole insegnare un altro principio: i dati prima o poi devono morire. Sembra macabro ma nella realtà conserviamo una notevole quantità di dati personali non sorretta da alcuna finalità, base giuridica o una disciplina specifica, e perdiamo il contatto con l’accountability del titolare.

Vediamo come è possibile procedere.

Le condizioni per la data retention

Un primo assunto è la creazione di una procedura interna che attesti di aver esaminato a fondo la prassi di gestione dei dati del personale dipendente o ex personale anche oltre i limiti imposti dalla legge. Il tutto in ossequio alla politica di governance delle informazioni che mira alla conformità alla normativa privacy vigente. La finalità principale è di supportare la conservazione dei dati personali dei dipendenti sulla base di esplicite condizioni che ne permettano la retention. Lo scopo è inoltre di informare e formare il personale incaricato all’utilizzo corretto di tali dati e documentazione connessa in modo da assicurare la salvaguardia dei diritti e delle libertà degli interessati.

Sistema di data protection: la documentazione da produrre, aggiornare e conservare

La gestione efficace degli aspetti connessi alla conservazione e cancellazione dei dati consente di monitorare costantemente il perimetro dei trattamenti svolti dalla società e di esercitare il pieno controllo sui dati a disposizione.

Pertanto una procedura mira a dare attuazione ai principi stabili dall’art. 25 del GDPR ossia «tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati».

Data retention, i principi del GDPR

Il principio di limitazione è stabilito nell’art. 5 GDPR, lett. e, ed è strettamente collegato alla finalità del trattamento ossia la finalità del trattamento è il criterio principale per stabilire la durata dei dati personali trattati. Il principio di limitazione integra i diritti e le libertà degli interessati tramite l’applicazione del diritto di cancellazione e di opposizione. Il principio di limitazione della conservazione soggiace ai generali principi cardini definiti dal Regolamento europeo ossia di privacy by design e privacy by default.Non solo. E’ necessario contemperare il principio di limitazione e il principio di minimizzazione.

Il principio di minimizzazione è stabilito nell’art. 5.1 lett. c) GDPR e stabilisce che i dati personali debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Tale principio rende operativo il principio di necessità, ossia il titolare periodicamente dovrà verificare se i dati trattati sono pertinenti e necessari rispetto alle finalità perseguite, o se invece non sono più adeguati e pertanto possono essere cancellati.

Criteri teorici per definire i periodi di retention

Il periodo di conservazione viene individuato sulla base di alcune linee guida:

  • I dati personali vengono conservati per il periodo strettamente necessario per perseguire le finalità per le quali sono stati raccolti.
  • Il titolare del trattamento deve conservare i dati in quanto sono previste disposizioni normative che lo obbligano in tal senso; sia di derivazione europea quanto di diritto interno italiano.
  • Conservazione per un legittimo interesse del titolare. I dati vengono conservati per motivi di legittimo interesse del titolare.

Criteri pratici per definire i periodi di retention

Secondo la legge italiana, e più precisamente secondo le norme del codice civile italiano, il termine ordinario per la conservazione dei documenti è di 10 anni. Il periodo di 10 anni decorre dall’effettiva risoluzione del contratto di lavoro (inclusi eventuali casi di reintegrazione). Tuttavia, diverse eccezioni sostanziali potrebbero portare a una valutazione diversa. Di seguito alcuni di essi, a titolo esemplificativo ma non esaustivo:

– se viene avviato un procedimento giudiziario il termine ordinario (10 anni) viene interrotto e riprende a decorrere una volta concluso il procedimento;

– in alcuni casi, i dipendenti potrebbero intentare azioni legali contro l’ex datore di lavoro anche molto tempo dopo la cessazione del rapporto di lavoro, ad esempio:

a) infortuni sul lavoro e, più precisamente, riferiti a quelle malattie / conseguenze, che potrebbero manifestarsi decine di anni dopo la cessazione del rapporto di lavoro (ossia, malattia derivante dalle infezioni da amianto, il cui periodo di incubazione è di 30 anni);

b) azioni per il risarcimento del danno pensionistico, in caso di perdite contributive da parte del dipendente, che possono essere promosse da quest’ultimo entro 10 anni dalla data di effettivo pensionamento, che in Italia è intorno ai 70 anni di età;

c) morte di un dipendente (procedimenti giudiziari promossi dagli eredi, compresi quelli sopra citati).

Il Regolamento rimette al titolare del trattamento la valutazione in ordine alla sussistenza di un interesse legittimo, proprio o di terzi, tale da legittimare il trattamento dei dati personali, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato e tenuto conto delle ragionevoli aspettative nutrite dallo stesso sulla base della sua relazione con il titolare. Pertanto una volta definito il legittimo interesse, il titolare valuterà il rischio di ledere i diritti dell’interessato attuando una valutazione d’impatto (DPIA).

Valutazione d’impatto: quantificazione del rischio

È una procedura prevista dall’articolo 35 del GDPR che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.

In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria, in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
  • trattamenti che, di per se, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio.

La DPIA è necessaria in presenza di almeno due di questi criteri, ma il titolare tenuto conto delle circostanze può decidere di procedere all’esecuzione di detta valutazione. In conclusione, qualora detta documentazione venga conservata per legittimo interesse del titolare appare opportuno predisporre una DPIA per avvalorare il principio di accountability e sopperire a qualsiasi dubbio in merito al rischio che il trattamento potrebbe riversare sui diritti e le libertà degli interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5