Data Retention – Tempi di Conservazione

Dall’uscita del nuovo regolamento per il trattamento dei dati ci siamo trovati davanti a numerosi punti di domanda e modalità di gestione da rivedere.
La domanda è sorta spontanea: le “novità” sono effettivamente tali oppure sono aggiornamenti o meglio adeguamenti sulla base dei vecchi codici?

Sicuramente il Reg. 679/2016 ha delle radici comuni a tutti i vecchi codici attuati nei Paesi Europei fino a poco tempo fa, e tra questi era presente anche il tempo di conservazione.

Nel codice della privacy, il D.Lgs. 196/2003, l’articolo 11 trattava “la conservazione dei dati per un tempo non superiore a quello necessario ai fini per i quali sono stati raccolti”.
Quindi in questo caso nessuna novità, ma solo un adeguamento tramite l’articolo 13 che va a definire il periodo di conservazione dei dati personali.

Tale scelta è stata resa necessaria per tutelare l’interessato da usi non autorizzati, eventuali perdite, furti o altre situazioni dannose durante un arco di tempo fuori da quello previsto per il consenso dato.

E proprio al momento del consenso che bisogna far capire all’interessato, oltre lo scopo dell’acquisizione, anche per quanto tempo terremo i dati nei nostri archivi.

Queste tempistiche, come viene specificato dal regolamento, devono essere limitate allo stretto necessario; ma come si valuta “il necessario”?
In questo caso bisogna applicare il buon senso, perché se su alcuni aspetti possiamo aiutarci con la legge, vedi ad esempio gli obblighi in materia fiscale e contrattualistica (5 o 10 anni) in altri casi possiamo ritenere normale la cancellazione dei dati personali dopo uno, due o tre mesi.

Tutto dipende dal motivo per il quale ci sono stati affidati i dati.
Anche perché, sembra banale, ma per le aziende avere pochi dati vuol dire minimizzare il rischio in caso di perdita, ovvero meno interessati da, eventualmente, risarcire; sistemi di controllo, archiviazione e protezione più leggeri o snelli a tutto vantaggio dei conti aziendali.

Su quest’aspetto molto delicato è stata comminata una sanzione dal Garante Danese, nello specifico il caso della società di mobili IDDesign, finita nei guai per la mancata cancellazione dei dati di circa 385.000 clienti.
La multa comminata dall’autorità danese per la privacy ammonta a oltre 200.000 euro.

L’irregolarità era stata riscontrata nel corso di una verifica in materia di privacy presso la società.
IDDesign aveva quindi spiegato all’autorità quali fossero gli strumenti usati per trattare i dati personali, da cui è emerso che solo alcuni negozi disponevano di un sistema recente, alcuni utilizzavano un vecchio sistema che aveva raccolto i dati personali di circa 385.000 clienti e mai erano stati cancellati.
Si trattava di nomi, contatti, indirizzi.
[fonte cybersecurity360.it].

Si deduce che la sanzione è stata applica proprio sul mancato rispetto del concetto di retentiontempo di conservazione , ovvero una volta ultimato lo scopo i dati devono essere cancellati dai propri dispositivi informatici o cartacei.

Simona Nuvoli

Responsabile Amministrativo e Qualità ISO 9001:2015 presso BETA Technologies S.r.l.

>