Stabilire il tempo della conservazione dei dati, un principio fondamentale, ma anche un vero dilemma per le aziende. Stabilire quando un dato personale deve (o può) essere cancellato per le aziende è sempre difficile, ma il crescente interessamento, anche a titolo di sanzioni applicate delle Autorità nazionali richiede delle importanti riflessioni.
Indice
Il principio espresso dalla norma
La regola generale, ovvero il principio di “limitazione della conservazione” dei dati personali è uno dei principi fondamentali del GDPR. La violazione di questo principio comporta una sanzione amministrativa pecuniaria tra le più gravi fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente (art. 83 par. 5 GDPR).
Secondo l’articolo 5.1 del Regolamento i dati personali devono essere: “e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Il titolare deve “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” e, a tal fine, “il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica” (considerando 39 GDPR).
Criteri per identificare i tempi di conservazione
Partiamo, quindi, dal fatto che i dati non possono essere conservati in eterno, concetto non sempre facile da accettare. Altro criterio: solo i dati necessari al perseguimento delle finalità della raccolta possono essere conservati. In altri termini, la regola del “questo dato lo tengo perché non si sa mai” non si accorda con il Regolamento.
Purtroppo, non esiste un manuale, o una linea guida, che indichi dei tempi certi di conservazione: non esiste, e non può esistere, perché i tempi di conservazione variano a seconda della specifica finalità del trattamento perseguita.
Ad ogni finalità, pertanto, corrisponde un determinato termine di conservazione dei dati personali, variabile peraltro a seconda delle caratteristiche stesse del trattamento.
Uno stesso dato può anche essere trattato per più finalità: in questo caso, occorrerà adottare opportune misure per impedire che il dato venga trattato per una finalità diversa da quella per la quale viene conservato.
Un esempio sono i dati identificativi e di contatto dei consumatori. Questi potranno essere trattati per eseguire un contratto di compravendita, per adempiere agli obblighi legali connessi, ma anche per fini di marketing. Ne consegue che la necessità di conservare i dati identificativi e di contatto per il tempo imposto dalla normativa fiscale non legittima la conservazione e il trattamento degli stessi dati per finalità di marketing per un medesimo periodo.
In sostanza: avere dei dati nei propri database non significa poterli trattare per qualsiasi finalità e per un tempo indefinito.
I precedenti delle Autorità sui tempi di conservazione
La violazione del principio di conservazione è ricorrente nei provvedimenti delle Autorità, soprattutto per finalità di marketing.
Come noto, il Garante ha in più occasioni fissato in 24 mesi il termine congruo di conservazione dei dati per scopi di marketing e il limite di un anno per scopi di profilazione (Rif Provv. Gen 2005).
Successivamente, con l’entrata in vigore del GDPR, l’impresa ha il potere di autoregolamentarsi tenendo conto anche degli interessi contrapposti dei clienti, ma anche dei provvedimenti del Garante. In molti settori sono state fatte delle eccezioni.
Nel settore delle crociere il Garante ha individuato un termine pari a un massimo di dieci anni così come nella promozione della vendita di autovetture. Ma i precedenti più interessanti sono nel settore della moda in cui il Garante ha consentito di passare al tempo di sette anni per conservare i dati per finalità di marketing (Provvedimenti dell’Autorità: Richiesta “Fendi” del 2 dicembre 2015, richiesta “Trussardi” dell’11 maggio 2017, e richiesta “Brunello Cucinelli” del 5 luglio 2017). I criteri e gli elementi oggettivi da valutare per qualificarsi come brand di “fascia alta” sono: la tipologia di prodotti offerti e la frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo.
Il caso La Rinascente e il caso Benetton
La violazione del principio di data retention è stata sanzionata in due recenti pronunce oramai famose: il caso La Rinascente (sanzionata per € 300.000) e il caso Benetton (sanzionata per €240.000).
Nel primo caso, il Garante ha escluso l’applicabilità ai beni del Titolare del termine di 7 anni per finalità di marketing. Secondo il Titolare i prodotti si qualificavano nella “fascia alta” che giustifica l’applicazione dei sette anni. Per il Garante, invece, non poteva applicarsi indistintamente il termine dei 7 anni ai tanti brand reclamizzati. Solo alcuni di essi, infatti, potevano rientrare in quella categoria, certo non tutti. Associato a questa infrazione, poi, il fatto che il termine non era stato indicato nell’informativa privacy.
Nel Caso Benetton nessun rilievo è stato mosso per il termine di 10 anni per la contrattualistica, ma Benetton aveva applicato lo stesso termine per la finalità di marketing, indicando nelle proprie informative che i “servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo, in considerazione anche della tipologia di prodotti offerti dalla Società e della frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo”.
Sono stati riscontrati, infatti presenti nei sistemi di Benetton, pur a fronte della disattivazione da parte dell’utente dal servizio newsletter. Una conservazione quasi a tempo indeterminato evidentemente non gradita dal Garante.
Un precedente dall’Europa
Oltre alla determinazione dei tempi di cancellazione, in alcuni contesti anche la mancata redazione di una vera e propria procedura per la cancellazione può portare all’applicazione di una sanzione.
La DPA danese ha inflitto alla Danske Bank una multa di 1,3 milioni di euro contestando la procedura di cancellazione. In particolare la DPA ha riscontrato che la banca non aveva documentato le regole per la cancellazione e l’archiviazione dei dati personali in più di 400 sistemi.
La DPA ha sottolineato la correlazione fra il principio di limitazione della conservazione ed il principio di accountability, il quale implica che il titolare sia in grado di comprovare il rispetto del GDPR e, pertanto, di dimostrare, con l’ausilio di idonea documentazione (leggi ‘data retention policy’), le regole che definiscono la conservazione e la cancellazione automatizzata o manuale dei dati personali.
Una policy in materia di data retention
La policy in materia di data retention dovrebbe quindi andare a definire la tipologia di dati personali presenti all’interno degli archivi del titolare (informatizzati o cartacei), per quali scopi questi vengono usati, per quanto tempo vengono conservati e come avviene la cancellazione (manuale o automatizzata, con quali mezzi di dismissione sicura, etc).
Determinare e documentare i termini di conservazione può non bastare. La data retention policy dovrebbe essere corredata da protocolli di applicazione pratica, per far si che l’organizzazione effettivamente rispetti quanto previsto dalla policy e sia pronta ad intervenire in caso di cambiamenti determinati nei trattamenti svolti. Si tratta quindi di un documento dinamico – in quanto in continua revisione ed evoluzione – e flessibile – considerando, ad esempio, che deve consentire, ove necessario, la cancellazione anticipata.
Pur non facendo più parte dell’Unione Europea, il Garante UK ha predisposto una interessante pagina informativa corredata di una check list estremamente utile per approfondire il tema in chiave operativa.