19 Set CONSERVAZIONE DEI DATI: LA “DATA DI SCADENZA” È ALEATORIA

Sbarazzarsi del “non si sa mai”

Quando una società conserva dati personali è sempre guidata dalla voce interiore del “non si sa mai”. Non si mai se questi dati possano tornare utile e quindi conserviamoli.

Peccato che, se li conservo per un periodo superiore a quello opportuno, il Garante è pronto a sanzionarmi. Anche in un ultimissimo provvedimento di febbraio 2022 non si è limitato dal contestare la tempistica di conservazione dei dati, che sommata ad altre mancanze, ha provocato alla società in questione una sanzione di 20 milioni di euro.

La durata di conservazione dei dati, infatti, è un fenomeno chiarito con l’entrata in vigore del GDPR: i dati possono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattatati.

Chiara e concisa è la possibilità di effettuare tale attività. E, di conseguenza, evidente è la necessità di individuare la “data di scadenza” di questi dati.

Indicazioni sulle tempistiche da rispettare

Se da una parte è indubbiamente possibile conservare dei dati, dall’altra non abbiamo un periodo temporale definito a cui rifarci.

Le normative chiariscono che la conservazione debba essere pari al minimo necessario, secondo il principio di minimizzazione, ma senza indicare una quantificazione concreta di questo minimo necessario.

Le società, sempre più confuse, si sono rivolte alla Commissione europea, la quale ha fornito una risposta tramite FAQ: “I dati vanno conservati per il più breve tempo possibile. Tale periodo deve tenere conto dei motivi per cui la tua azienda/organizzazione deve trattare i dati, nonché di eventuali obblighi legali per la conservazione dei dati per un determinato periodo di tempo”. E quindi? Esattamente cosa aggiunge dall’indicazioni già presenti nella legge? Poco niente.

Sicuramente si ribadisce l’importanza del principio di proporzionalità da applicare per il calcolo effettivo della conservazione, ma non troviamo ancora l’indicazione del conteggio da effettuare per una quantificazione numerica del periodo.

Su cosa orientarsi per individuare i criteri?

Il Garante si pone restio nel comunicare date precise di conservazione, per evitare di andare contro lo spirito dello stesso GDPR. 

In mancanza di criteri ufficiali delle autorità, possiamo orientarci su altre soluzioni frutto dell’esperienza maturata nel settore Privacy.

Una società deve, quindi, considerare: gli obblighi di legge; le pronunce giurisprudenziali oppure i provvedimenti emanati dall’Autorità piuttosto che le indicazioni fornite dalle Associazioni di categoria; i contributi apportati dalla dottrina; e, infine, la casistica che pone al centro la tutela dell’interessato.

Pur apparendo come buone soluzioni, stiamo trattando di criteri precari. Non dimentichiamoci che le normative sono in continua modifica, gli orientamenti giurisprudenziali sono spesso contrastanti tra di loro, le linee guida non sono vincolanti e le casistiche sono difficili da teorizzare.

E quindi? E quindi chiedetevi ogni qual volta conservate un dato innanzitutto se è davvero necessaria la sua conservazione e in secondo luogo per quanto tempo sia indispensabile la sua presenza.

Immagine: https://it.freepik.com/