Anche se non ci sono criteri precisi al 100% su come conservare i dati personali all'interno di un'azienda o di un ente pubblico. Ci sono comunque diverse normative che permettono di adottare delle linee guida e dei criteri corretti in materia di conservazione dei dati personale.
Alla base della conservazione dei dati c'è sicuramente la "data retention" ossia il periodo per il quale i dati devono essere conservati. Questo elemento è fondamentale perché permette successivamente d'individuare in modo corretto anche i criteri con i quali bisogna procedere alla conservazione dei dati, riuscendo di conseguenza a individuare le criticità in caso di trattamento dei dati per un lungo periodo.
Quindi vediamo insieme cos'è la data retention, e quali sono i criteri per una conservazione corretta dei dati personali.
La Data Retention è un'espressione che prevede l'esigenza di stabilire un periodo per la conservazione dei dati personali, oltre il quale questi devono essere obbligatoriamente cancellati.
Dunque, il principio di data retention indica il periodo della conservazione dei dati come previsto dal GDPR e come era già previsto anche dal codice italiano della Privacy che all'articolo 11 prevede che: i dati debbano essere conservati in una forma tale che permetta l'identificazione del soggetto interessato per un periodo di tempo che non superi quello che serve agli scopi per il quale essi sono stati raccolti e trattati, anche se l'interessato non richiede la loro cancellazione mediante comunicazione scritta.
L'imposizione di un periodo specifico di conservazione dei dati, nasce per permettere a chi ha sottoscritto un contratto o rilasciato i dati per un specifico scopo a non rimanere registrato per un tempo superiore a quello che serve all'azienda o ente a portare al termine lo scopo per il quale erano stati richiesti. Il tempo conservativo dei dati, permette di valutare con più attenzione sia i criteri di conservazione per il periodo utile sia quelli poi per la corretta cancellazione dai propri archivi e registri.
I dati generalmente possono essere conservati con vari aspetti e modalità. In linea generale, per rispettare correttamente le regole previste sia dal Garante sia dal GDPR, questi possono essere archiviati o in moduli cartacei o elettronici, oppure in entrambi i modi.
Il modo con il quale si desidera conservare i dati dipende dalla azienda e dal tipo di raccolta effettuata, e sopratutto dal periodo per il quale è necessaria la loro conservazione. Per quanto riguarda i dati cartacei questi offrono una maggiore sicurezza nell'ambito della cancellazione finale, in quanto basta eliminare i moduli con un trita documenti o incenerendoli, che i dati non sono più a disposizione di nessuno.
Per quanto riguarda i dati informatici, purtroppo non esiste la certezza al 100% che i dati siano scomparsi completamente dal sistema informatico nel quale sono stati inseriti. In quanto, sarebbe impensabile distruggere computer o server ogni qual volta si devono eliminare i dati. Quindi negli archivi automatizzati informatici, l'unico criterio da seguire è quello di cercare di eliminare ogni traccia dei dati sensibili riconducibile a una persona specifica al fine di evitare anche se involontariamente la diffusione dei dati.
Dunque i criteri da rispettare per la giusta conservazione dei dati, devono essere stabiliti dal DPO, che deve procedere in modo attento al mantenimento di questi solo per il periodo utile allo scopo per il quale sono stati assunti. Inoltre, il Responsabile deve gestire i dati personali, in modo tale che non siano riconducibili nell'immediato a una specifica persona fisica, specie quando si fa riferimento a quelli informatizzati che sono più semplicemente acquisibili da terzi, da malintenzionati come ad esempio hacker.
Infine, nel caso in cui si debba avere obbligatoriamente in archivio dati precisi riconducibili in modo univoco a un soggetto, ci si deve obbligatoriamente dotare di sistemi di protezione informatica di alto livello, come ad esempio succede nelle banche, dove i dati seguono una crittografia difficile da hackerare.
In linea generale per stabilire i criteri per il trattamento dati il DPO deve seguire alcuni assunti quali:
Data Retention: cos'è e come si può usare in qualità di principio per la conservazione dei dati?
La Data Retention è un'espressione che prevede l'esigenza di stabilire un periodo per la conservazione dei dati personali, oltre il quale questi devono essere obbligatoriamente cancellati.
Dunque, il principio di data retention indica il periodo della conservazione dei dati come previsto dal GDPR e come era già previsto anche dal codice italiano della Privacy che all'articolo 11 prevede che: i dati debbano essere conservati in una forma tale che permetta l'identificazione del soggetto interessato per un periodo di tempo che non superi quello che serve agli scopi per il quale essi sono stati raccolti e trattati, anche se l'interessato non richiede la loro cancellazione mediante comunicazione scritta.
L'imposizione di un periodo specifico di conservazione dei dati, nasce per permettere a chi ha sottoscritto un contratto o rilasciato i dati per un specifico scopo a non rimanere registrato per un tempo superiore a quello che serve all'azienda o ente a portare al termine lo scopo per il quale erano stati richiesti. Il tempo conservativo dei dati, permette di valutare con più attenzione sia i criteri di conservazione per il periodo utile sia quelli poi per la corretta cancellazione dai propri archivi e registri.
I principi presenti nel GDPR per il trattamento dati personali
Secondo quanto riportato dal GDPR bisogna fare riferimento principalmente a due principi quando si parla di Data retection. Il primo è il principio di limitazione della conservazione. Come riportato dall'articolo 5 paragrafo uno: è necessario stabilire un principio limite per la conservazione dei dati, con l'individuazione di un arco temporale in cui essi possono essere trattati. Il periodo deve essere imposto dal Titolare del Trattamento dei dati, che deve poi procedere alla corretta conservazione in base alle finalità specifiche per il quale questi sono stati raccolti. Il secondo principio è quello di minimizzazione. Come disposto dagli articoli 5 e 6 del Regolamento Europeo sulla protezione dei dati, bisogno determinare in modo esplicito e lecito per quanto tempo siano necessari all'azienda o all'ente i dati personali raccolti per raggiungere lo scopo prefisso. In questo caso dunque si impiega il principio di minimizzazione del trattamento che serve a fornire le fondamenta del piano normativa in materia di raccolta e conservazione dei dati definendo come questi debbano essere: pertinenti e limitati a quanto necessario alla finalità del trattamento.Come conservare i dati: i criteri principali
I dati generalmente possono essere conservati con vari aspetti e modalità. In linea generale, per rispettare correttamente le regole previste sia dal Garante sia dal GDPR, questi possono essere archiviati o in moduli cartacei o elettronici, oppure in entrambi i modi.
Il modo con il quale si desidera conservare i dati dipende dalla azienda e dal tipo di raccolta effettuata, e sopratutto dal periodo per il quale è necessaria la loro conservazione. Per quanto riguarda i dati cartacei questi offrono una maggiore sicurezza nell'ambito della cancellazione finale, in quanto basta eliminare i moduli con un trita documenti o incenerendoli, che i dati non sono più a disposizione di nessuno.
Per quanto riguarda i dati informatici, purtroppo non esiste la certezza al 100% che i dati siano scomparsi completamente dal sistema informatico nel quale sono stati inseriti. In quanto, sarebbe impensabile distruggere computer o server ogni qual volta si devono eliminare i dati. Quindi negli archivi automatizzati informatici, l'unico criterio da seguire è quello di cercare di eliminare ogni traccia dei dati sensibili riconducibile a una persona specifica al fine di evitare anche se involontariamente la diffusione dei dati.
Dunque i criteri da rispettare per la giusta conservazione dei dati, devono essere stabiliti dal DPO, che deve procedere in modo attento al mantenimento di questi solo per il periodo utile allo scopo per il quale sono stati assunti. Inoltre, il Responsabile deve gestire i dati personali, in modo tale che non siano riconducibili nell'immediato a una specifica persona fisica, specie quando si fa riferimento a quelli informatizzati che sono più semplicemente acquisibili da terzi, da malintenzionati come ad esempio hacker.
Infine, nel caso in cui si debba avere obbligatoriamente in archivio dati precisi riconducibili in modo univoco a un soggetto, ci si deve obbligatoriamente dotare di sistemi di protezione informatica di alto livello, come ad esempio succede nelle banche, dove i dati seguono una crittografia difficile da hackerare.
In linea generale per stabilire i criteri per il trattamento dati il DPO deve seguire alcuni assunti quali:
- gli obblighi di legge a livello nazionale e internazionale
- le disposizioni giurisprudenziali dati dall'autorità, dalle associazioni di categoria, dalla pubblica amministrazione
- verificare il periodo necessario al mantenimento dei dati
- salvaguardia attenta dei contenuti degli archivi, specialmente quelli informatici
