Conservazione dei dati personali

Criteri e criticità, a fronte dell’incertezza normativa: un approfondimento di Monica Perego e Chiara Ponti per Agenda Digitale

Su Agenda Digitale è stato pubblicato l’approfondimento “Conservazione dei dati: criteri e criticità (nell’incertezza normativa)”, a firma di Monica Perego e Chiara Ponti. Nell’abstract si legge quanto segue: “Non esistono, al momento, criteri ufficiali volti a stabilire in modo uniforme modalità e tempi di conservazione dei dati personali. In assenza di altre soluzioni proviamo a fornirli, con le criticità che portano con sé, alla luce dell’esperienza maturata nel settore e sulla base dell’analisi di molteplici contesti”. A seguire l’introduzione: 

Il periodo di conservazione dei dati personali – cosiddetta data retention – è uno degli elementi basilari della protezione dei dati. È pertanto di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali, e le conseguenti criticità.

Criteri volti a stabilire in modo uniforme modalità e tempi di conservazione secondo parametri ufficiali la cui definizione spetta all’Autorità garante che dovrebbe inoltre sollecitare i vari portatori di interesse (associazioni di categoria, ordini professionali) a fornire indicazioni che possano fungere da base comune per la definizioni di prassi condivise e che riducano il libero arbitrio.

Cosa si intende per data retention

Precisiamo anzitutto che cosa si intenda per “data retention”, e come nasca l’esigenza di stabilire un periodo di conservazione oltre il quale i dati personali debbono essere cancellati.

Per “data retention” si deve intendere, appunto, il “periodo di conservazione dei dati”. Il Regolamento UE n. 679/2016 (GDPR), non ha previsto sostanzialmente nulla di nuovo rispetto al Codice Privacy (D.lgs. 196/2003) il quale già contemplava, all’art. 11, che i dati personali dovessero essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”, per quanto non ne richiedesse la comunicazione esplicita all’interessato.

La esigenza di stabilire un periodo di conservazione dei dati, invero, nasce in materia normativa sui sistemi di gestione, che trova una declinazione specifica nell’ambito della sicurezza delle informazioni (cfr. ISO/IEC 27001). Si tratta, infatti, di un tempo conservativo, come lo è richiesto ad esempio per i dati di backup.

I principi sottesi

° Principio della limitazione della conservazione

Ai sensi e per gli effetti di cui all’art. 5, paragrafo 1 lett. e) il Regolamento stabilisce il principio della limitazione della conservazione secondo cui, l’arco temporale nel quale i dati possono essere, dal Titolare del trattamento, conservati deve essere rapportato alle finalità specifiche per le quali sono stati raccolti.

  1. Principio di minimizzazione

Dal combinato disposto di cui agli artt. 5 e 6 del GDPR cioè a dire dalle condizioni di liceità e finalità –che, si rammenta, devono essere determinate, esplicite e lecite- nei limiti di quanto necessario per il raggiungimento dello scopo per i quali i dati sono stati raccolti, nasce il principio di minimizzazione del trattamento. Si tratta di una delle fondamenta dell’intero impianto normativo stabilendo come i dati debbono essere: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Tipologia di archivi e conservazione dei dati: aspetti e modalità

I dati sono generalmente conservati in archivi che si distinguono in cartacei ed elettronici.

In questa sede si ritiene utile approfondire la conservazione di dati in archivi automatizzati concepiti per contenerli/conservarli e non certo per cancellarli. Al di là del fatto che il vero problema del dato informatizzato risieda proprio nella sua impossibilità ontologica di essere completamente distrutto.

In pratica, non è possibile garantire una cancellazione/distruzione completa a differenza di come avviene con il dato cartaceo il quale può essere completamente distrutto nel trita-documenti, ad esempio.

Conservazione dei dati: criteri e criticità…

Continua a leggere su Agenda Digitale

Azioni sul documento

pubblicato il 2019/11/21 10:00:00 GMT+2 ultima modifica 2019-11-14T17:57:06+02:00

Valuta il sito

Non hai trovato quello che cerchi ?

Piè di pagina