Uno degli adempimenti espressamente previsti dal GDPR che ha un impatto rilevante sia dal punto di vista organizzativo (definizione di policy), sia per gli interventi richiesti per l\u2019adeguamento dei sistemi informativi, \u00e8 quello legato alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione (o altro tipo di trattamento\u2026) al termine di questi.<\/p>\n
Il tempo di conservazione di un dato, la cui formalizzazione \u00e8 presente in documenti quali l\u2019informativa da rilasciare all\u2019interessato ovvero nel registro delle attivit\u00e0 di trattamento, \u00e8 in genere legato alla finalit\u00e0 del trattamento.<\/p>\n
In realt\u00e0 il medesimo dato, se utilizzato per differenti finalit\u00e0, potrebbe avere tempi di conservazione diversi, che devono pertanto essere opportunamente gestiti.<\/p>\n
Gi\u00e0 da questa considerazione, appare chiaro che la cancellazione effettiva del dato trattato per una determinata finalit\u00e0, non sia l\u2019unico intervento possibile o necessario al termine del tempo di conservazione dello stesso.<\/p>\n
Se infatti il tempo di conservazione per la finalit\u00e0 A \u00e8 di 5 anni e per la finalit\u00e0 B di 10 anni quello che il Titolare dovr\u00e0 fare non sar\u00e0 la cancellazione del dato trascorsi i primi 5 anni, ma impedire che lo stesso sia utilizzato per la prima finalit\u00e0.<\/p>\n
Dal punto di vista tecnico il tipo di intervento da mettere in atto sar\u00e0 strettamente connesso all\u2019architettura informatica ed alla organizzazione degli archivi del Titolare.<\/p>\n
Se infatti lo stesso dato per la finalit\u00e0 A e per la finalit\u00e0 B \u00e8 replicato in archivi diversi, si potr\u00e0 effettivamente procedere alla cancellazione del dato nell\u2019archivio relativo alla finalit\u00e0 A.<\/p>\n
Se invece il dato \u00e8 presente in un solo archivio, sar\u00e0 necessario impedire il suo uso per la finalit\u00e0 A ad esempio revocando gli accessi ai soggetti\/applicazioni che svolgono tale finalit\u00e0.<\/p>\n
Questo \u00e8 solo uno dei possibili interventi che il Titolare potr\u00e0 mettere in atto e del quale dovr\u00e0 essere in grado di mostrare l\u2019efficacia.<\/p>\n
La determinazione dei tempi di conservazione pu\u00f2 avvenire in base ad una normativa, o in base ad una valutazione del Titolare l\u00e0 dove una norma non esista. In questo secondo caso il Titolare dovr\u00e0 giustificare i tempi di conservazione da lui determinati, riferendosi anche, l\u00e0 dove esistano, a provvedimenti dell\u2019Autorit\u00e0 Garante su analoghe situazioni.<\/p>\n
In talune situazioni il Titolare potrebbe decidere di estendere i tempi di conservazione oltre a quelli previsti dalla normativa, ad esempio per potersi difendere nel caso di future pretese rispetto ai soggetti interessati di cui tratta i dati.<\/p>\n
Al riguardo il mondo bancario \u00e8 particolarmente sensibile, anche perch\u00e9 in questo settore sono numerose le normative che regolano espressamente i tempi di conservazione.<\/p>\n
Alcuni documenti (le normative solo raramente parlano di dati, per lo pi\u00f9 parlano di documenti bancari) sono da conservare per 2, 5,10 anni dall\u2019atto della loro formazione, mentre altri sono da conservare per 2, 5, 10 anni dall\u2019atto della cessazione del rapporto.<\/p>\n
Tutto chiaro dunque? Assolutamente no, in quanto nel tempo alcune sentenze dalla Cassazione hanno modificato radicalmente i parametri che teoricamente sembrano cos\u00ec chiari<\/p>\n
Partiamo dalla data di prescrizione[1]<\/a>.<\/p>\n La data di decorrenza della prescrizione in linea generale coincide con la data di chiusura del rapporto creditizio. Ci\u00f2 si desume dalle pronunce della Corte di Cassazione n. 2262 del 1984 e n. 10127 del 2005, secondo cui \u201cil termine di prescrizione decennale per il reclamo delle somme trattenute dalla banca indebitamente a titolo di interessi su un\u2019apertura di credito in conto corrente decorre dalla chiusura definitiva del rapporto, trattandosi di un contratto unitario che d\u00e0 luogo ad un unico rapporto giuridico, anche se articolato in una pluralit\u00e0 di atti esecutivi, sicch\u00e9 \u00e8 solo con la chiusura del conto che si stabiliscono definitivamente i crediti e i debiti delle parti tra loro\u201d; <\/em>le sentenze si riferiscono evidentemente ad una apertura di credito in conto corrente, ma stante il concetto di \u201ccontratto unitario\u201d esse sono applicabili per estensione a qualunque tipo di contratto bancario.<\/p>\n La Corte di Cassazione (sentenza n. 24418 del 2010 ) ha in stabilito che la prescrizione decennale dell\u2019azione di ripetizione da parte del cliente delle somme addebitate nei rapporti bancari inizia a decorrere dalla chiusura del rapporto<\/u> per le rimesse ripristinatorie<\/u> (eseguite cio\u00e8 in presenza di un affidamento concesso e nei limiti dello stesso, quale ripristino della disponibilt\u00e0 ottenuta con il fido), ed invece da ogni singolo addebito<\/u> per le rimesse solutorie<\/u> (eseguite cio\u00e8 in assenza di affidamento o oltre l\u2019affidamento concesso, in cui la rimessa ha l\u2019effetto di estinguere il debito del cliente verso la banca).<\/p>\n La Corte di Cassazione ha in particolare stabilito che la prescrizione decennale dell\u2019azione di ripetizione da parte del cliente delle somme addebitate nei rapporti bancari inizia a decorrere dalla chiusura del rapporto<\/u> per le rimesse ripristinatorie<\/u> (eseguite cio\u00e8 in presenza di un affidamento concesso e nei limiti dello stesso, quale ripristino della disponibilit\u00e0 ottenuta con il fido), ed invece da ogni singolo addebito<\/u> per le rimesse solutorie<\/u> (eseguite cio\u00e8 in assenza di affidamento o oltre l\u2019affidamento concesso, in cui la rimessa ha l\u2019effetto di estinguere il debito del cliente verso la banca).<\/p>\n Questa forma di abuso \u00e8 stata drasticamente scoraggiata dalla sentenza n. 4518 del 2014 della stessa Cassazione, che pur ribadendo l\u2019orientamento del 2010, ha stabilito che \u201ci versamenti eseguiti su conto corrente, in corso di rapporto hanno normalmente funzione ripristinatoria della provvista e non determinano uno spostamento patrimoniale dal solvens all’accipiens. Tale funzione corrisponde allo schema causale tipico del contratto. Una diversa finalizzazione dei singoli versamenti (o di alcuni di essi) deve essere in concreto provata da parte di chi intende far decorrere la prescrizione dalle singole annotazioni [\u2026]. Nella specie non \u00e8 stato mai n\u00e9 dedotta n\u00e9 allegata tale diversa destinazione dei versamenti in deroga all’ordinaria utilizzazione dello strumento contrattuale\u201d.<\/em><\/p>\n <\/p>\n In conseguenza di quanto sopra appare chiaro che i tempi di conservazione, ad esempio dei movimenti di un conto corrente, si dilatano a dismisura, in quanto diventa opportuno conservarli tutti, dall\u2019atto dell\u2019apertura del conto, fino a 10 anni dalla chiusura dello stesso.<\/p>\n Oltre alla mole di dati da conservare si pongono inoltre altri problemi.<\/p>\n Il primo riguarda l\u2019applicabilit\u00e0 a tutti i conti correnti di tali indicazioni (con la conseguente conservazione estesa dei dati), in considerazione del fatto che all\u2019atto dell\u2019apertura del conto non \u00e8 possibile sapere se lo stesso mai si trover\u00e0 in una delle situazioni prima descritte.<\/p>\n Il secondo aspetto riguarda l\u2019ampiezza delle informazioni che \u00e8 necessario e lecito conservare (ad esempio ha senso di un movimento conservare la causale o \u00e8 sufficiente per la finalit\u00e0 prefissata conservare importo e data?)<\/p>\n Le analisi da compiere e le decisioni che si devono assumere per determinare effettivamente cosa conservare e per quanto tempo sono quindi articolate e complesse.<\/p>\n Il caso bancario \u00e8 emblematico, ma potrebbero esserci situazioni analoghe per altre categorie di Titolari.<\/p>\n Ulteriori problematiche si pongono inoltre in conseguenza della crescente dematerializzazione (non va infatti dimenticato che la distruzione dei dati non riguarda solo la loro istanza in formato elettronico) ed alla conseguente eliminazione della carta\u2026, ma di questo parleremo in un altro post.<\/p>\n [1]<\/a> Approfondimento effettuato in collaborazione con l\u2019Avv. Maria Roberta Perugini e la dott. Maria Tusa<\/p>","protected":false},"excerpt":{"rendered":" Uno degli adempimenti espressamente previsti dal GDPR che ha un impatto rilevante sia dal punto di vista organizzativo (definizione di policy), sia per gli interventi richiesti per l\u2019adeguamento dei sistemi informativi, \u00e8 quello legato alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione (o altro tipo di trattamento\u2026) al termine di\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[418,162],"class_list":["post-3278","post","type-post","status-publish","format-standard","hentry","category-legal-framework","tag-cancellazione-dei-dati","tag-diritto-alloblio"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3278"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3278\/revisions"}],"predecessor-version":[{"id":3282,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3278\/revisions\/3282"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3278"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3278"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}