IL QUADRO

GDPR e data retention (conservazione dati): policy e linee guida per farla bene

Una delle tante novità del Regolamento UE 2016/679 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, è senza dubbio il “periodo di conservazione dei dati personali”. Ecco come essere compliant per data retention e GDPR

27 Set 2018
M
Roberto Maraglino

Data Protection & Information Security Manager

Tra i più discussi adempimenti richiesti dal Regolamento UE 2016/679 (meglio conosciuto con l’acronimo inglese di GDPR) c’è sicuramente la definizione del “periodo di conservazione dei dati personali (data retention) e più precisamente dei “criteri utilizzati per determinare tale periodo” (art 13, comma 2, lettera a del Regolamento). Valutare correttamente l’estensione temporale di tale periodo di conservazione permette di ottenere la compliance in merito a data retention e GDPR. Tale requisito, infatti, viene ricompreso fra le informazioni che dovranno essere inserite nella “nuova” informativa privacy che il titolare al trattamento deve fornire all’interessato “per garantire un trattamento corretto e trasparente”.

Conservazione dei dati personali: una “vecchia novità”

Il GDPR, in realtà, non ha introdotto un elemento di innovazione sostanziale rispetto al vecchio Codice Privacy (D.lgs. 196/2003), che già prevedeva all’articolo 11 che i dati personali devono essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”. Anche chi si occupa di sicurezza delle informazioni avrà sicuramente sentito parlare di data retention, espressione che si riferisce perlopiù al tempo di conservazione dei dati di backup: l’arco di tempo in cui un backup è disponibile per il ripristino ovvero per quanto tempo i dati salvati andranno conservati prima di essere cancellati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Data retention e GDPR: il giusto periodo di conservazione dei dati

Alcuni termini di conservazione sono determinati direttamente dalla legge o da un contratto mentre altri sono autodeterminati dal titolare del trattamento. Quando il punto di partenza per l’identificazione è il dettato legislativo, deve essere applicato un requisito già determinato. A dicembre 2017, per esempio, il legislatore ha modificato gli obblighi in carico agli operatori telefonici portando il periodo di conservazione dei dati di traffico telefonici e telematici a 72 mesi (periodo massimo). In taluni casi invece la legge è di supporto per identificare il periodo minimo di conservazione: ad esempio, nella valutazione potrebbe essere utile partire dai termini di prescrizione entro i quali un soggetto esterno può attivare un’azione nei confronti del titolare del trattamento. A questi sarebbe necessario aggiungere un ulteriore periodo – cuscinetto utile per tener conto anche del deposito e della notifica di un atto giudiziario. Un’azienda, volendo sintetizzare un caso pratico, potrebbe decidere di conservare i dati relativi al rapporto di lavoro minimo per 10 anni. In tal senso è utile ricordare che non vanno certamente dimenticati gli obblighi di conservazione della documentazione per finalità fiscali o contrattuali (i cosiddetti termini prescrizionali di 5 e 10 anni).

Periodo di conservazione: cosa fare quando la scelta spetta al titolare

La definizione di un tempo di conservazione “adeguato” non può che dipendere da una attenta analisi del business e da uno studio dei trattamenti. Questo tempo è dunque legato alla finalità del trattamento: se lo stesso dato è trattato per diverse finalità, sono necessari tempi di conservazione diversi per ognuna delle diverse finalità. In taluni casi il Garante Privacy può certamente aiutare per identificare similitudini di trattamenti. Negli anni passati si è espresso più volte relativamente ai tempi di conservazione. Nel 2016, ad esempio, (con provvedimento del 30 giugno 2016) ha determinato in 15 anni il periodo di conservazione dei dati personali riguardanti la clientela di un’agenzia immobiliare per attività di profilazione e marketing. Ma non sempre l’autorità può supportare le aziende per identificare agevolmente un periodo definito; soprattutto considerando i diversi interessi e le differenti finalità in gioco. Sarebbe comprensibile che una Pubblica Amministrazione conservasse i dati per sempre se tale trattamento fosse supportato da una effettiva esigenza; per esempio, i dati personali nei registri del catasto devono necessariamente essere conservati per un tempo che va ben oltre i canoni dei normali trattamenti (1, 2, 5, 10 anni ecc.). Ciò è giustificato dal compito di interesse pubblico che gli uffici della PA devono garantire: nel caso del catasto, per poter ricostruire anche a distanza di generazioni la storia di un bene immobile. Diversamente i dati di contatto forniti per una richiesta di assistenza dovranno essere trattati per il tempo strettamente necessario e nei limiti del raggiungimento dello scopo per i quali sono stati richiesti (principio di minimizzazione dei dati) al fine di gestire la richiesta stessa (30, 60, 90 giorni). I dati gestiti da una società di selezione possono essere trattati per il tempo strettamente connesso alla ricerca in atto per i quali i dati sono stati acquisiti (la società ha pubblicato un annuncio di lavoro ed ha ricevuto alcuni curricula. È pacifico ritenere che tali dati saranno conservati per tutta la durata della selezione in corso). Ma se la società, che effettua come attività principale l’incrocio fra domanda e offerta di lavoro, volesse utilizzare i dati per offrire ulteriori opportunità di lavoro ed incrociare il profilo del candidato con altre ricerche in essere anche future, può farlo? In tal caso, il periodo di conservazione eccederebbe la singola ricerca in corso. Nell’interesse del candidato non parrebbe del resto sensato precludere ulteriori opportunità in virtù del principio della “limitazione della conservazione”. Quale dovrebbe essere il giusto bilanciamento degli interessi e diritti in gioco? In tal caso sarebbe fondamentale esplicitare in modo inequivoco nell’informativa fornita al candidato che: “i dati saranno trattati anche per eventuali posizioni differenti rispetto a quelle per le quali si è candidato”. Ma per quanto tempo? È ammissibile utilizzare tali dati ma solo per un tempo limitato sulla base di un’analisi delle finalità. Ad esempio conservare i dati del candidato al massimo per i 36 mesi successivi a far data dal momento in cui lo stesso li ha conferiti o dal suo ultimo aggiornamento nell’area privata del sito sul quale il candidato si è registrato. 36 mesi potrebbe essere un periodo determinato sulla base degli interessi in gioco e identificato al termine di una valutazione di opportunità. Servirebbe conservare un curriculum vitae oltre i 36 mesi? Un CV più vecchio di 36 mesi risulterebbe non aggiornato e quindi concretamente sarebbe scarsamente utilizzato, sia pure nell’interesse del candidato.

Dati di marketing: il vero problema della data retention

La vera retention che molte aziende desiderano identificare è ovviamente relativa ai dati di marketing. Se da una parte è pacifico ritenere che i dati presenti sulle cosiddette pagine gialle non possano essere utilizzate per finalità di marketing puro, va da sé che è necessario acquisire uno specifico consenso informato ed archiviare i dati per un tempo definito. Siamo costantemente inondati da telefonate promozionali di società che ci contattano perché dispongono del nostro numero telefonico o indirizzo e-mail acquisto probabilmente anni addietro. L’identificazione di un periodo di archiviazione, in tal caso, potrebbe essere determinata anche sulla base del ciclo medio di vita di un’utenza telefonica o di un indirizzo e-mail (ogni quanto cambiamo e-mail e numero telefonico?). In alternativa andrebbe considerata l’attualità degli interessi in gioco: se ho fornito un consenso marketing per ricevere comunicazioni al fine di scegliere prodotti di previdenza integrativa è probabile che dopo 24 mesi abbia già fatto le mie scelte. Potrebbe pertanto rappresentare un’alternativa per l’azienda identificare un periodo minimo di conservazione e lasciarsi la possibilità di rinnovare la richiesta di consenso al termine di tale periodo.

L’importanza di documentare le scelte

Ciò che non deve mai mancare, secondo il principio dell’accountability è la documentabilità delle scelte operate e dei criteri utilizzati. Scelte che devono essere fondate su criteri oggettivi, sulle specifiche finalità del trattamento e soprattutto sulla politica della gestione dei tempi di conservazione che l’azienda ha definito. È evidente che una corretta e reale definizione dei tempi di conservazione dei dati non può che dipendere dalla definizione di una preventiva policy aziendale, documento che in realtà le aziende dovrebbero già avere.

P4I - White Paper - privacy by design
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr