Quando si parla di conservazione dei dati personali, il riferimento è il GDPR, che chiede a imprese e pubblica amministrazione di cancellare o anonimizzare le informazioni quando non risultino più necessarie alle finalità di trattamento.
In altre parole, imprese e PA dovrebbero conservare i dati personali altrui secondo modi e tempi strettamente proporzionati agli scopi per i quali vengono raccolti.
Scendendo più in particolare, l’art. 5, paragrafo 1, del GDPR indica l’obbligo di assicurare un periodo di conservazione dei dati personali limitato al minimo necessario.
IN CASO DI MANCATO ADEGUAMENTO AL GDPR
Non adempiere agli obblighi in materia di conservazione dei dati personali comporta delle conseguenze, anche economiche.
Tra le varie sanzioni irrogate dal Garante della Privacy italiano, una ha recentemente toccato una società che aveva mancato di “definire (e conseguentemente a trasferire all’interno dei documenti la cui predisposizione costituisce un obbligo per il titolare in base al GDPR) un quadro chiaro e coerente dei termini di conservazione dei dati personali” riferiti ai propri dipendenti [qui il testo del provvedimento GPDP n. 234 del 10 giugno 2021].
CONSERVAZIONE DEI DATI, LE PROCEDURE DI DATA RETENTION
Dunque, aziende e PA dovrebbero dotarsi di procedure di data retention, materia non semplice da affrontare in mancanza di competenze specifiche.
Senza scendere nel dettaglio, cerchiamo di offrire una strategia per facilitare una migliore conservazione dei dati personali, basata du 4 punti.
1) Individuazione dei dati
Il primo passaggio da compiere è il censimento di tutti i dati trattati.
Vanno individuati la loro posizione, il tipo di dato, la finalità per cui sono stati raccolti, come sono stati (o sono ancora) processati.
2) Classificazione dei dati
Il secondo passaggio consiste nel classificare i dati secondo diversi criteri:
– il loro livello di accessibilità: sono dati disponibili per tutti o no? Nel caso non lo siano, qual’è il loro livello di segretezza?
– le loro finalità e la base giuridica di riferimento: sono dati raccolti a scopi di marketing secondo il principio del consenso? Sono dati raccolti per instaurare un rapporto di lavoro secondo il principio del legittimo interesse? Altro?
3) Gestione dei dati
Ognuna di queste categorie avrà dei tempi di conservazione propri, che verranno decisi dal titolare del trattamento in base alle finalità per le quali sono stati raccolti e seguendo i principi del buon senso e della ragionevolezza.
4) Anonimizzazione o eliminazione
Terminato il periodo di conservazione, i dati possono andare incontro a due destini:
– l’anonimizzazione, ovvero l’azione di non permettere più l’identificazione degli interessati, nel caso in cui il titolare intenda usare ancora i dati in maniera neutra (e.: per inserirli nei sistemi di apprendimento di un’intelligenza artificiale);
-la cancellazione, che per i dati digitali deve essere totale, ovvero non deve lasciare traccia degli stessi in nessun supporto, mentre per i dati analogici prevede la distruzione del supporto cartaceo.
L’intera procedura va ripetuta regolarmente per far sì che la conservazione dei dati sia sempre aggiornata e si evitino pericolosi incidenti che violino la privacy degli individui.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Adeguati al GDPR. Scopri i servizi e i prodotti Privacy di Servicematica.
——–
LEGGI ANCHE: