Data retention: per quanto tempo vanno conservati i dati personali

La data retention è da prevedersi sin dall’origine, nel processo di privacy by design che investe il Titolare e che andrebbe affrontato come un vero e proprio “processo di costruzione del progetto privacy”. Alcuni casi eclatanti di sanzioni nei paesi europei.

Pubblicato il 09 Ott 2020

Anna Capoluongo

Avvocato esperto in data protection e DPO.

Nell’epoca dei big data, tra gli adempimenti che ricadono in capo al Titolare del trattamento, uno dei principali e più importanti è senza dubbio quello relativo alla corretta informazione degli interessati di cui agli articoli 14 e 13 del Gdpr. Quest’ultimo prevede – come ben sappiamo – che nell’informativa vada specificato anche il periodo di conservazione dei dati personali, oppure, ove ciò non sia possibile, quanto meno i “criteri utilizzati per determinare tale periodo”. La cd. data retention riveste, pertanto, un ruolo di spessore, così come l’insieme di principi espressi dall’art. 5 del Regolamento 679/2016, che di fatto finiscono per rappresentare i cardini su cui imperniare tutto il risk based approach a fondamento dell’attuale normativa privacy.

Per dovere di completezza, è giusto il caso di ricordare che il concetto di data retention non deve i natali alla normativa sulla privacy, bensì è qualcosa di risalente, infatti, ab origine, fu la direttiva 2006/24/CE[1] a regolamentare la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Ma tornando all’analisi, l’art. 5 del GDPR, nello specifico al comma 1 lettera e), richiede che i dati personali siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)”.

Sul punto, il considerando 39 specifica, inoltre, che “I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati”.

Privacy by design

Alla luce di ciò, ecco che alcune osservazioni preliminari paiono d’obbligo, e così sinteticamente ricordiamo che:

a) la data retention è qualcosa da prevedersi sin dall’origine, nel pieno del processo di privacy by design che investe il Titolare e che andrebbe affrontato come un vero e proprio “processo di costruzione del progetto privacy”, con tutto ciò che ne consegue a livello di adempimenti[2];

b) la politica di conservazione è strettamente connessa all’esattezza del dato, infatti il dato che non è più aggiornato non è più utile e anzi potrebbe essere fonte di problemi e rischi di notevole portata;

c) se i dati non vengono trattati conformemente alla normativa privacy – ad esempio in caso di violazione delle norme sulla conservazione – ai sensi dell’art. 2-decies del Codice Privacy come novellato non potranno essere utilizzati, fatte salve le previsioni del successivo articolo 160-bis[3].

Tutto ciò premesso, rivolgendo lo sguardo fuori dai confini nazionali, pare di un certo interesse guardare a come le autorità garanti di alcuni stati membri abbiano da ultimo sanzionato operazioni di trattamento dati personali proprio in tema di politica di conservazione.

Data retention: il caso Danimarca

Il Datatilsynet – ossia il Garante privacy danese – nell’agosto di quest’anno ha elevato una sanzione di 148mila euro nei confronti della catena alberghiera Arp-Hansen per la violazione del sopra citato principio di limitazione con ad oggetto i dati personali di circa 500mila clienti che vi avevano soggiornato.

La società, infatti, nonostante le non conformità ai principi del GDPR emerse durante un audit interno svolto poco prima, non aveva provveduto ad adeguare correttamente le policy e in ogni caso non si era attenuta alle politiche di conservazione e di cancellazione dei dati trattati, registrando ed elaborando – e dunque trattando – i dati dei propri ospiti per un lasso di tempo superiore a quanto fosse consentito (e pertinente, aggiungiamo).

Nello specifico, dall’attività ispettiva del garante danese emergeva che:

  • sul sistema di prenotazione utilizzato risultava registrato un numero elevato di dati personali non più necessari, conservati oltre il periodo di tenuta previsto;
  • sui sistemi interni erano memorizzati circa 500mila profili di clienti, anch’essi conservati oltre il tempo dovuto.

Data retention: il caso Germania

La Berliner Beauftragte für Datenschutz und Informationsfreiheit – Berlin DPA ha, invece, proceduto a multare una società immobiliare tedesca (Deutsche Wohnen) per una somma milionaria, ossia 14,5 milioni di euro, sempre a causa del mancato rispetto del principio di limitazione della conservazione dei dati ex art. 5 GDPR.

Nel caso di specie, nonostante un primo avvertimento risalente al 2017 all’esito di un audit svolto ad hoc, i dati degli interessati (inquilini) continuavano a non essere regolati da una specifica procedura di conservazione e cancellazione che rispettasse i dettami della nuova normativa privacy, col risultato di rendere possibile l’accesso ai dati personali anche molto tempo dopo il raggiungimento delle finalità per le quali erano stati inizialmente raccolti.

Con la decisione in oggetto l’Autorità per la protezione dei dati di Berlino ha voluto sottolineare l’importanza di rispettare – in particolare – il principio di limitazione della conservazione e la necessità di prevedere la creazione di sistemi di archiviazione siano in grado di stabilire il ciclo di vita dei dati, permettendo la conservazione e la successiva cancellazione dei dati al termine del periodo di data retention.

Data retention: il caso Francia

A fronte della violazione di molteplici norme del GDPR, la società di vendita on-line Spartoo sas, nonostante il nome scelto in omaggio di Sparta, ha dovuto deporre le armi contro la decisione della CNIL (autorità francese per la protezione dei dati personali)[4], che ad inizio agosto 2020 l’ha sanzionata per un importo di 250mila euro, richiedendo la messa in conformità entro tre mesi dalla notifica del provvedimento.

Il Garante francese ha, infatti, evidenziato come siano stati violati il principio di minimizzazione dei dati, quello di limitazione, l’obbligo di informazione ai sensi dell’articolo 13 e l’adozione delle misure adeguate ex art. 32 del GDPR[5].

Nello specifico, rispetto alla finalità di formazione dei dipendenti e la prevenzione delle frodi, la CNIL ha ritenuto che la registrazione permanente delle telefonate con i dipendenti del servizio clienti, la registrazione delle coordinate bancarie dei clienti e la raccolta delle tessere sanitarie dei clienti fossero eccessive e, quindi, contrarie alla minimizzazione dei dati.

In aggiunta, è risultato che non fosse stabilito un periodo di conservazione dei dati dei clienti e dei prospetti e che i dati personali non fossero cancellati regolarmente.

Nel caso in questione, ci viene offerto anche un dato tangibile, concreto, se si vuole un possibile termine di paragone, ossia un periodo di tempo specificato. La CNIL, infatti, ha ritenuto che la conservazione di nomi e password non anonimizzati[6] per un periodo superiore a cinque anni fosse eccedente e non compliant.

Data retention: il caso Spagna

Infine, ultimo in materia, ma solo in termini di tempo (28 agosto 2020), è stato il provvedimento con il quale il Garante spagnolo (AEPD) ha inflitto all’istituto di credito Bankia S.A. una sanzione di 50mila euro per la violazione del principio di cui all’art. 5 del GDPR.

Anche in questo caso ci viene dato un riferimento temporale preciso, anche se più esteso di quello previsto dal garante francese, ossia 16 anni.

Ma facciamo qualche passo indietro.

Un interessato si recava presso l’istituto Bankia per aprire un conto, ma durante la procedura l’impiegato dello sportello comunicava al soggetto che nella memoria del sistema visibile a monitor era presente il suo vecchio indirizzo di residenza (risalente al 2002), nonostante questi avesse cessato di essere correntista oltre 16 anni prima.

A fronte del reclamo presentato al Garante spagnolo, Bankia, dal canto suo, sosteneva di non aver violato le norme sulla protezione dei dati personali, in quanto i dati del denunciante erano stati bloccati come disposto dall’art. 32[7] della LOPD (Legge sulla protezione dei dati spagnola).

Il Garante ha però ritenuto che l’articolo non fosse stato correttamente applicato dalla banca, dal momento che al secondo comma viene previsto espressamente l’adozione di misure tecniche e organizzative idonee ad impedirne il trattamento, compresa la visualizzazione, mentre nel caso di specie i dati del denunciante, presumibilmente bloccati, erano risultati accessibili ai dipendenti dell’istituto.
Infine, è però interessante notare come nel caso in questione l’Autorità garante abbia deciso di contestare alla banca la violazione dell’articolo 5 comma 1 lettera b) del GDPR, e non l’articolo 5 comma 1 lettera e) – che parrebbe più adeguato ed pertinente – , così finendo in realtà per punire la mancata applicazione del principio di finalità e non di limitazione della durata di conservazione.

  1. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:IT:PDF
  2. Si indicano, in via esemplificativa, quali attività attività fondamentali: la definizione della struttura organizzativa; la creazione di procedure create ad hoc per la specifica realtà aziendale; la definizione del progetto e del contesto dell’iniziativa; la fattibilità del progetto studio di fattibilità; la messa in opera e la formazione.
  3. La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.
  4. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042203965/
  5. La CNIL ha ritenuto, infatti, che: i clienti fossero male informati sulle basi giuridiche del trattamento dei dati; che i dipendenti non fossero stati adeguatamente informati sullo scopo del trattamento, sui destinatari dei dati, sul periodo di conservazione dei dati e sui loro diritti, e che non fossero state utilizzate password sufficientemente forti per accedere ai conti dei clienti.
  6. Al fine di consentire ai clienti di riutilizzare il proprio conto.
  7. Secondo il quale il responsabile del trattamento è tenuto a bloccare i dati in caso di rettifica o cancellazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati