Conservazione e cancellazione dei dati personali: responsabilità civile e gestione operativa

Di seguito si riporta una possibile ricognizione di approcci in materia di requisiti di conservazione e cancellazione dei dati, per i principali processi aziendali, derivanti dalla normativa applicabile.

In relazione alla normativa nazionale, si evidenziano a titolo esemplificativo e non esaustivo alcuni riferimenti utili a guidare la determinazione delle logiche di Data Retention.

L'art. 2220 c.c. disciplina il mantenimento delle scritture contabili obbligatorie (10 anni). Si specifica, in particolare, che l'imprenditore debba conservare, fra l'altro, la corrispondenza commerciale ai sensi dell'art. 2220, comma 2, c.c. per un periodo di dieci anni dalla data dell'ultima registrazione. Nell'ambito della valutazione posta in capo al Titolare, si può prendere in considerazione, in assenza di specifico obbligo normativo di conservazione dei dati, il termine di prescrizione decennale entro il quale un cliente può esperire azione giudiziaria nei confronti del Titolare medesimo (o viceversa; cfr. art. 2946 c.c. secondo il quale i diritti si estinguono per prescrizione decorsi dieci anni, salvo che la legge disponga diversamente).

In relazione alla normativa comunitaria, si evidenziano a titolo esemplificativo e non esaustivo alcuni riferimenti utili a guidare la determinazione delle logiche di Data Retention.

Il Regolamento UE n. 679/2016 è la disciplina applicabile trasversalmente a tutti i trattamenti di dati personali a prescindere dalla tipologia del processo di un'organizzazione.

Nel Considerando 39, art. 5 lett. c), in particolare si evidenzia che “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario [...]. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati”.

L'art. 13 e 14, comma 2, lettera a) relativamente all'informativa e al principio di minimizzazione stabilisce che “il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo […]”.

Quanto al principio di limitazione, il Considerando 39, art. 5 lett. e) disciplina che: “i dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica”.

Conservazione del dato sino a quando non si sono esaurite le finalità per le quali il dato stesso è stato raccolto o altrimenti trattato (art. 17 e Considerando 65 del Regolamento Europeo nr. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).

La cancellazione dei dati può essere sistematica (by default) o conseguente a richiesta dell'interessato (on demand), e rappresenta la fase conclusiva del ciclo naturale di vita dei dati personali:

● Data;

● Life-cycle.

In riferimento all'acquisizione dei dati e consenso al relativo trattamento viene fornita idonea informativa privacy all'interessato ai sensi dell'art. 13 del GDPR.

I dati personali degli interessati vengono acquisiti dai Titolari, andando a costituire un tassello del suo database. Unitamente ai dati, qualora necessario, viene raccolto il consenso dell'interessato, che ne costituisce la base giuridica del relativo trattamento (c.d. database consensato).

I dati vengono trattati nei limiti previsti nell'informativa privacy, e sulla base degli eventuali consensi forniti, di cui i dati vengono conservati per la durata prevista dalle diverse finalità che insistono sugli stessi, nel rispetto delle politiche di conservazione cartacee ed informatiche adottate.

In riferimento alla cancellazione dei dati questi:

● vengono cancellati dai supporti informatici e/o distrutti dai supporti cartacei allo scadere dei termini di conservazione previsti;

● vengono cancellati su richiesta dell'interessato, qualora lecita ed accoglibile, ai sensi dell'art. 17 del GDPR.

La cancellazione on demand avviene entro massimo un mese ed è prorogabile di ulteriori due mesi tenuto conto della complessità e del numero delle richieste (art. 12 GDPR); in riferimento alla cancellazione by default, avviene sistematicamente allo scadere dei termini previsti dai diversi Titolari del trattamento.

La cancellazione sistematica (by default) è una modalità di cancellazione caratterizzata dal fatto di operare «sistematicamente», allo scadere dei termini previsti dai diversi Titolari del trattamento, per ottemperare al periodo di retention individuato dal Titolare con riferimento alle finalità, alle diverse norme trasversali in materia di conservazione dei dati o alle esigenze di business.

L'Organizzazione dovrebbe indirizzare alcune regole di base per gestire la cancellazione dei dati personali, considerando la tipologia dei sistemi, l'utilizzo e l'eventuale esternalizzazione:

● per gli archivi elettronici e cartacei su cui non insistono obblighi normativi e per i quali non vi è un interesse legittimo del Titolare alla conservazione, dovrebbero essere sottoposti alla distruzione fisica, in modo da garantire che non sia tecnicamente possibile il recupero dei dati personali;

● per le banche dati strutturate che contengono dati personali, dovrebbero essere identificati e implementati meccanismi di cancellazione sicura dei dati, in modo da garantire le funzionalità dei sistemi e l'integrità referenziale dei data base;

● per gli archivi elettronici presenti sui dispositivi a disposizione degli addetti al trattamento, oppure sui server gestiti dal Titolare o dalle terze parti, dovrebbero essere individuate e attuate tecniche di cancellazione logica, tali da non consentire tecnicamente il recupero dei dati;

● tutti gli archivi elettronici e cartacei, che sono stati acquisiti da terze parti per perseguire le finalità di specifici trattamenti, dovrebbero essere restituiti alle stesse terze parti al termine dei trattamenti.

Gli interventi tecnici per implementare la cancellazione sistematica dei dati sono spesso impegnativi. È importante definire un perimetro di partenza su cui avviare le attività, utilizzando un approccio basato sul rischio che consiste nel definire i periodi di conservazione e cancellazione dei dati, le Organizzazioni dovrebbero tener conto di alcuni principi guida, improntanti sul rispetto delle disposizioni normative Data Protection.

Al fine di garantire una corretta individuazione dei periodi di retention i dati personali devono essere conservati per il periodo strettamente necessario per perseguire le finalità per la quali sono stati raccolti. Per una conservazione ulteriore, si dovrà tener conto delle disposizioni di legge.

Il Titolare del trattamento deve conservare gli archivi e i documenti che contengono dati personali in modo conforme a quanto previsto dalla normativa europea, dall'ordinamento italiano e dai provvedimenti delle Autorità di controllo.

Nei casi in cui la conservazione sia fondata sul legittimo interesse (requisiti di business), si dovrà svolgere l'analisi del bilanciamento degli interessi, nonché una valutazione di impatto per analizzare i rischi per i diritti e le libertà fondamentali degli interessati.

L'individuazione del tempo di conservazione delle diverse categorie di dati personali è normalmente rimandata al Titolare del trattamento, in ragione del generale principio di accountability e sulla base del principio di limitazione della conservazione.

A tal riguardo, si osserva, che l'accountability viene descritta come un meccanismo a due livelli, uno obbligatorio ed uno volontario: il primo livello sarebbe costituito da un obbligo di base vincolante per tutti i Titolari (e Responsabili) del trattamento, e comprenderebbe l'attuazione e la formalizzazione delle misure e/o procedure (es. adozione di un modello organizzativo) nonché la conservazione delle relative prove; viceversa, il secondo livello includerebbe sistemi di responsabilità di natura volontaria eccedenti le norme di legge cd. minime, in relazione ai principi fondamentali di protezione dei dati e/o in termine di modalità di attuazione o di garanzia dell'efficacia delle misure poste in essere.

Sulla scorta di ciò, si può affermare che tale principio configuri un modello di responsabilità volto alla prevenzione del danno, al punto che la responsabilità civile può essere definita soltanto una “prima comparsa” dell'accountability del titolare del trattamento; in altri termini, la responsabilizzazione ex ante si declina come responsabilità ex post.

La finalità del trattamento è il criterio principale per individuare la durata dei dati personali trattati. Per determinare il periodo di conservazione, il Titolare dovrebbe considerare le finalità dichiarate per il trattamento dei dati personali. Potrà conservare i dati fino a quando le finalità sono ancora valide, ma non potrà conservare i dati a tempo indeterminato “per ogni evenienza”, o se c'è solo una piccola possibilità che li utilizzerà in futuro.

Il Titolare dovrebbe determinare preventivamente il tempo di conservazione dei dati trattati per le diverse finalità. Tale informazione, in base all'art. 30 GDPR è contenuta all'interno del Registro dei Trattamenti e nelle informative rilasciate ai soggetti interessati.

Le Organizzazioni dovrebbero dotarsi di una procedura al fine di identificare le modalità ed i tempi di conservazione dei dati personali relativi ai soggetti interessati, nonché garantire agli stessi maggiori diritti, tra cui quello relativo alla cancellazione dei dati.

In alcuni casi il periodo di conservazione è determinato da obblighi normativi vigenti, in relazione alle specifiche attività di trattamento svolte dall'Organizzazione. Il Regolamento Europeo in materia di protezione dei dati personali richiama tali principi richiedendo che i dati personali vengano conservati per i periodi stabiliti dagli specifici regolamenti applicabili.

Il periodo di conservazione è individuato dalla normativa applicabile al contesto dell'Organizzazione.

Tali obblighi possono derivare da:

• provvedimenti dell'Autorità Garante per la protezione dei dati personali;
• norme civilistiche;
• giurisprudenza;

Di seguito vengono passati in rassegna alcuni obblighi normativi in materia di conservazione dei dati in riferimento ad alcune tipologie di trattamento di dati personali:

- Il diritto all'oblio tra tutela della riservatezza e diritto all'informazione, in Diritto di Famiglia e delle Persone (Il), fasc.2, 20;

- Alagna I. M., Diritto all'oblio e mancato oscuramento dei dati sensibili, Giuffrè Francis Lefebvre, 2023;

- Alagna I. M., Social Media e responsabilità civile, in Officina del diritto, Giuffrè Francis Lefebvre, 2020;

- Cosa R. e Viola L., Diritto all'oblio: il caso Google Spain, Sicurezza e giustizia, n. 2 (2015); consultabile su: sicurezzaegiustizia.com.