Dati personali: per quanto tempo si possono conservare?

Gli articoli  13 e 14  del Regolamento UE 2016/679, che indicano quali  informazioni vanno obbligatoriamente rese agli interessati,  includono anche “il periodo di conservazione” dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Spiega, infatti, il legislatore europeo che “I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario”.

La necessità di individuare un termine di conservazione da dichiarare nell’informativa (o perlomeno un criterio) è quindi prepotentemente emersa in fase di adeguamento al GDPR, grazie al traino operato dalle informative.

Leggi l’articolo su come adeguare il sito web al gdpr

In realtà si tratta di un principio già presente nel nostro ordinamento:

non solo l’articolo 11 del Dlgs 196/03 disponeva al primo comma (lettera e) che i dati personali devono essere “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”, ma anche lo stesso Garante Privacy era intervenuto in più occasioni per fissare i termini di conservazione (in tema di marketing, profilazione e videosorveglianza, per citare gli esempi più macroscopici).

Con il Regolamento 679/2016, però (salva la sopravvivenza dei provvedimenti generali del Garante in quanto compatibili con il GDPR), la palla in ordine alla determinazione dei tempi di conservazione passa nelle mani del titolare, il quale non solo dovrà rispettare le disposizioni di legge che impongano particolari periodi di conservazione, ma dovrà anche, soprattutto, badare alle finalità e alle basi giuridiche che possono giustificare tempi di conservazione più lunghi del mero raggiungimento della finalità per cui i dati sono stati raccolti: il Titolare dovrà prestare grande attenzione alla scelta dei criteri che adotterà per definire le tempistiche.

Entra nella nostra community per rimanere aggiornato

Non ci si può limitare a definire il tempo di conservazione come il “periodo di tempo non superiore a quello necessario agli scopi per i quali” i dati “sono stati raccolti o successivamente trattati”, se poi, in concreto, non solo si abbia alcuna vaga idea di cosa si intenda per “scopi” ma non si sappia neppure rispondere alla più banale domanda: “quando viene raggiunta la finalità per cui li ho raccolti?”, e non si può ignorare che spesso il trattamento si protrae ben oltre il conseguimento della finalità per la quale i dati sono stati raccolti: ad esempio, conservare i dati per potersi difendere in giudizio (tipico esempio di giustificazione al protrarsi della conservazione) è un trattamento per una finalità ulteriore rispetto a quella per la quale sono stati originariamente stati raccolti i dati.

Come si fa a sapere per quanto tempo si possono conservare i dati?

Non esiste una regola aurea valida per tutti i trattamenti: bisogna cercare, trattamento per trattamento, i criteri che consentono di dire che la finalità è stata raggiunta (quando viene raggiunta la finalità di marketing? all’invio della prima email promozionale? Ovviamente no!) se sussistono obblighi di legge che impongono la conservazione ulteriore, e successivamente, appurare se ci sono ragioni di opportunità (che devono tradursi in finalità e basi giuridiche, con tutti gli obblighi informativi che ne conseguono) per conservare i dati anche dopo che lo scopo della raccolta è stato raggiunto o è spirato il termine di legge.

I termini individuati e/o i criteri per individuarli sarebbe buona passi, ai fini dell’accountability, ordinarli in una “data retention policy”, una politica sulla conservazione, che aiuti il titolare (anche in assenza di procedure per la conservazione digitale regolata dalla legge) -e tutti i soggetti da lui autorizzati o che trattano i dati per suo conto- a a fare in modo che “il periodo di conservazione dei dati personali sia limitato al minimo necessario”.

Cristina Vicarelli

Contattaci