Uno dei temi nei quali ci si imbatte più spesso nel corso di convegni o gruppi di lavoro riguarda la corretta gestione dei tempi di conservazione dei dati personali.
Questo il fatto che questo argomento susciti un così alto interesse è di fatto un’anomalia.
Infatti il GDPR non introduce alcun elemento di innovazione (salvo le sanzioni) rispetto all’attuale normativa privacy, che prevede all’articolo 11 che i dati devono essere:
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Del resto la maggior parte degli adempimenti previsti dal GDPR sono già in vigore da anni, ma pochi se ne erano fatti carico.
Sebbene abbia già trattato questo tema (Il periodo di conservazione dei dati personali) mi sembra opportuno riprendere l’argomento al fine di dare qualche indicazione su come definire una adeguata policy di data retention.
Determinare il tempo di conservazione
Il tempo di conservazione di un dato è legato alla finalità del trattamento nel quale è coinvolto e quindi, se lo stesso dato è trattato per diverse finalità, si dovranno stabilire tempi diversi di conservazione in funzione di ognuna delle diverse finalità.
Alcuni termini di conservazioni sono determinati esternamente (obblighi normativi o contrattuali…), mentre altri sono autodeterminati dal Titolare.
Nella valutazione è opportuno considerare anche i termini di prescrizione entro i quali un soggetto esterno può attivare un’azione nei confronti del Titolare, ed anche i tempi di ritardo fra deposito e notifica di un atto giudiziario, tempi che è utile aggiungere come ulteriore cuscinetto al tempo base di conservazione.
Va ricordato che in caso di contezioso con clienti/fornitori/amministrazioni si determina una nuova finalità di trattamento e pertanto si trascendono i tempi di conservazione delle finalità originali e si determina un nuovo e distinto tempo di conservazione.
Non è invece giustificabile conservare dati personali oltre il tempo strettamente necessario dalla specifica finalità per rispondere ad eventuali ed ipotetiche richieste dalla magistratura ed altri enti ispettivi.
È importante considerare che ciò che determina il tempo di conservazione è la finalità e non già uno strumento. Ad esempio nel caso della posta elettronica (che è appunto uno strumento e non una finalità) non si determina il tempo di conservazione delle email in generale, ma delle singole categorie di email, distinte per finalità.
I media di conservazione
I dati personali sono di norma conservati su una molteplicità di supporti, sia in formato digitale, sia in formato analogico, sia in forma strutturata, sia in forma destrutturata. Sono inoltre presenti sia presso la struttura del Titolare, sia presso outsourcer e fornitori. È indispensabile quindi una opportuna ed esaustiva (ed alquanto difficile ed improbabile) mappatura dei dati personali effettivamente trattati e conservati sui vari media, al fine di garantire una corretta e coerente gestione dei tempi di conservazione.
È infatti inutile investire per gestire correttamente la conservazione dei dati su un determinato media e dimenticare che lo stesso dato è presente su altre tipologie di supporto.
È evidente che una corretta e reale gestione dei tempi di conservazione non può prescindere dalla definizione di una preventiva policy sulle modalità di archiviazione degli stessi.
Il fatto stesso che gran parte delle attività di adeguamento al GDPR sia legata alla mappatura dei propri trattamenti e della collocazione dei propri dati evidenzia che i Titolari non stiano realmente presidiando il loro patrimonio informativo.
Gli aspetti tecnici
La definizione dei tempi di conservazione non può prescindere da considerazioni di natura tecnica, legate alla specificità di ciascun titolare.
Valgono infatti le seguenti considerazioni; al termine del tempo di conservazione previsto per una determinata finalità un dato dovrebbe essere:
- cancellato, se fisicamente possibile
- limitato nell’uso, se lo stesso dato è utilizzato anche per altre finalità che hanno tempi di conservazione più estesi ed il dato è presente in un unico database, o in un unico documento.
Rispetto alla reale possibilità di cancellare il dato, possono sorgere dei problemi di natura tecnica, legati al fatto che una tale operazioni crei dei problemi alla integrità del database o ad altri database che utilizzino tale informazione.
Alternativamente alla cancellazione si potrebbe quindi ipotizzare di procedere alla anonimizzazione del dato o di altre tecniche per renderlo di fatto indisponibile al Titolare, pur non eliminando fisicamente il relativo record. Tale pratica potrebbe trovare giustificazione nel fatto che altrimenti si avrebbero malfunzionamenti nel sistema informativo e quindi, di fatto, si potrebbero creare dei problemi di accesso ad altre informazioni.
Difficile inoltre considerare come percorribile la reale cancellazione di singoli record dalle copie di backup, in particolare la dove queste siano costituite da nastri.
Anche in questo caso, in luogo di una inattuabile cancellazione si potrebbero ipotizzare interventi alternativi, quali l’accesso alle copie ai soli casi di emergenza e ripristino, e la conservazione dei supporti, opportunamente criptati, con rigorose misure di sicurezza fisica.
Conclusione
La definizione di una corretta policy di data retention richiede un attenzione per tutti gli aspetti sopra ricordati, anche al fine di valutarne la corretta rappresentazione nelle informative da rilasciare agli interessati.
molto opportuno il richiamo di Butti al tema della data retention. in questo periodo sto raccogliendo centinaia di trattamenti (per inserirli nei registri), e quando si arriva alle domande sui criteri di conservazione, la colonna risulta troppo spesso desolatamente spoglia… sono del tutto d’accordo che non si tratta di una novità assoluta, ma in verità una piccola novità c’è (come segnalato anche nell’ultima riga del post): il gdpr chiede che i criteri di data retention siano indicati in informativa, cosa sinora non richiesta dal codice. il che forse costringerà le aziende a capire che non si può pensare nè “li tengo per sempre” nè “intanto li raccolgo poi definirò quanto tenerli”.
ci tengo inoltre a precisare alcuni dettagli: è vero che per alcuni trattamenti i termini MINIMI di conservazione sono definiti per legge, ma questi non vanno confusi con i termini massimi che il titolare deve definire e che potrebbero essere diversi (se coerenti con la finalità e coperti da opportuna base giuridica, diversa a in tal caso dall’obbligo di legge). in ogni caso anche volendo far coincidere minimi prescritti e massimi, voglio proprio vedere chi si sveglia la mattina e, prima di recarsi al lavoro, va nel magazzino esterno dove si conservano i vecchi contratti cartacei, estrae esattamente quelli scaduti da 10 anni, li distrugge e, solo dopo, si reca in ufficio… concederete che sia assai più probabile che si faccia pulizia una volta l’anno, quindi i termini saranno opportunamente indicati (ad es.) come “10 anni per obblighi di legge e max 1 anno ulteriore in attesa di distruzione periodica”.
inoltre non va dimenticato che i termini di conservazione sono relativi al trattamento, e non al dato, che potrebbe essere legittimamente trattato in azienda per finalità diverse, da reparti diversi e magari con sistemi diversi. questo deve essere ben tenuto presente da quei direttori sistemi troppo zelanti che pensano di rendere un buon servizio all’azienda introducendo ove possibile automatismi di cancellazione talebani allo scadere delle 24.00 del giorno X definito nel registro dei trattamenti, facendoli valere in modo assoluto sul dato a prescindere dai diversi possibili criteri di conservazioni tipici di diverse finalità (e relative basi giuridiche). molto più opportuno, come ricorda anche il post di Butti, ricorrere a tecniche di data masking per consentire la conservazione del dato (se opportuna) ed impedirne l’accesso (dove non più coperto da legittimità).