Il principio di limitazione della conservazione impone un limite temporale a qualsiasi operazione di trattamento, il che costituisce una sorta di “minimizzazione dei dati” in una dimensione temporale.
Articolo 5 – Principi relativi al trattamento dei dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (” liceità, correttezza e trasparenza “);
(b) raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi; l’ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, ai sensi dell’articolo 89, paragrafo 1 , considerato incompatibile con le finalità iniziali (” limitazione delle finalità “);
(c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“ minimizzazione dei dati ”);
(d) esatti e, se necessario, aggiornati; deve essere adottata ogni misura ragionevole per garantire che i dati personali inesatti rispetto alle finalità per le quali sono trattati siano cancellati o rettificati senza ritardo (” esattezza “);
(e) conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati; i dati personali possono essere conservati per periodi più lunghi purché siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ai sensi dell’articolo 89, paragrafo 1, previa attuazione delle adeguate misure tecniche e organizzative. misure richieste dal presente Regolamento al fine di salvaguardare i diritti e le libertà dell’interessato (“ limitazione della conservazione ”);
(f) trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro trattamenti non autorizzati o illegali e contro la perdita, la distruzione o il danneggiamento accidentali, utilizzando misure tecniche o organizzative adeguate (“integrità e riservatezza” ) .;
2. Il responsabile del trattamento è responsabile ed è in grado di dimostrare il rispetto del paragrafo 1 (” responsabilità “).
La Conservazione dei Dati alla Luce del Regolamento Generale sulla Protezione dei Dati (GDPR)
Nel panorama della protezione dei dati, l’articolo 5, paragrafo 1, lettera e) del Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta una pietra miliare nella definizione dei principi relativi alla limitazione della conservazione dei dati personali.
L’articolo 5 del Regolamento Generale sulla Protezione dei Dati (RGPD) stabilisce che i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità sottese al trattamento.
Il principio di limitazione della conservazione non solo fissa un limite temporale al trattamento, ma richiede che il titolare del trattamento definisca internamente un periodo di conservazione prima che il trattamento abbia inizio.
Tale periodo di conservazione non deve necessariamente corrispondere a un periodo di tempo specifico, ma anche qualora il titolare del trattamento non sia in grado di prevedere con precisione in anticipo la durata del trattamento, deve verificare regolarmente se il trattamento continua ad essere necessario.
In altre parole, i dati personali devono essere eliminati o resi anonimi non appena non sono più necessari per il loro scopo originario.
Questo principio, noto come “limitazione della conservazione“, mira a garantire che i dati non siano tenuti per periodi più lunghi del necessario, in linea con le esigenze di minimizzazione e proporzionalità che sono cardine del GDPR.
Finalità del Trattamento e Conservazione
Il fulcro di questa disposizione è il legame inscindibile tra la durata della conservazione dei dati e le finalità per cui sono stati raccolti.
I responsabili del trattamento devono dunque valutare con attenzione per quanto tempo è realmente necessario mantenere i dati personali, in relazione agli scopi per cui sono stati inizialmente raccolti.
Una volta che tali scopi sono stati soddisfatti, i dati dovrebbero essere cancellati o resi anonimi.
Eccezioni alla Regola
Tuttavia, il GDPR riconosce che ci possono essere circostanze legittime per mantenere i dati personali oltre il conseguimento delle finalità iniziali. Queste eccezioni comprendono la conservazione per fini di archiviazione nel pubblico interesse, ricerca scientifica o storica, o per scopi statistici.
Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
1. Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.
2. Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell’Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.
3. Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell’Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18, 19, 20 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.
4. Qualora il trattamento di cui ai paragrafi 2 e 3 funga allo stesso tempo a un altro scopo, le deroghe si applicano solo al trattamento per le finalità di cui ai medesimi paragrafi.
In questi casi, l’articolo 89, paragrafo 1, prescrive che tale conservazione deve essere effettuata nel rispetto delle adeguate garanzie per i diritti e le libertà degli interessati.
L’adeguatezza delle garanzie deve essere valutata ragionevolmente in relazione alle caratteristiche del caso concreto e deve prevedere l’attuazione di misure tecniche e organizzative adeguate alla tutela dei diritti e delle libertà degli interessati.
Questo significa che, ad esempio, i dati personali conservati per fini di ricerca scientifica devono essere anonimizzati o pseudonimizzati e protetti da accessi non autorizzati.
Inoltre, la conservazione dei dati personali deve essere limitata nel tempo e non deve superare quello strettamente necessario per il raggiungimento delle finalità per cui sono stati raccolti.
In sintesi, la conservazione dei dati personali è lecita solo se avviene nel rispetto dei principi di necessità e proporzionalità e delle garanzie previste dal GDPR. Gli interessati hanno il diritto di essere informati sulla durata della conservazione dei loro dati personali e di esercitare i loro diritti previsti dal GDPR in caso di violazione di tali regole.
Considerando 39 Principi di trattamento dei dati
Qualsiasi trattamento dei dati personali dovrebbe essere lecito e corretto.
Dovrebbe essere trasparente per le persone fisiche che i dati personali che le riguardano sono raccolti, utilizzati, consultati o altrimenti trattati e in che misura i dati personali sono o saranno trattati.
Il principio di trasparenza richiede che qualsiasi informazione e comunicazione relativa al trattamento di tali dati personali sia facilmente accessibile e comprensibile e che sia utilizzato un linguaggio chiaro e semplice.
Tale principio riguarda, in particolare, l’informazione agli interessati sull’identità del titolare e sulle finalità del trattamento e ulteriori informazioni volte a garantire un trattamento corretto e trasparente nei confronti delle persone fisiche interessate e il loro diritto ad ottenere la conferma e la comunicazione dei propri dati personali. dati che li riguardano oggetto di trattamento.
Le persone fisiche dovrebbero essere informate dei rischi, delle norme, delle garanzie e dei diritti in relazione al trattamento dei dati personali e di come esercitare i propri diritti in relazione a tale trattamento.
In particolare, le finalità specifiche per le quali i dati personali sono trattati dovrebbero essere esplicite e legittime e determinate al momento della raccolta dei dati personali.
I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per gli scopi per i quali sono trattati.
Ciò richiede, in particolare, di garantire che il periodo di conservazione dei dati personali sia limitato al minimo indispensabile.
I dati personali dovrebbero essere trattati solo se lo scopo del trattamento non può ragionevolmente essere raggiunto con altri mezzi.
Al fine di garantire che i dati personali non siano conservati più del necessario, il titolare del trattamento dovrebbe stabilire termini temporali per la cancellazione o per la revisione periodica.
Dovrebbe essere adottata ogni misura ragionevole per garantire che i dati personali inesatti siano rettificati o cancellati.
I dati personali dovrebbero essere trattati in modo da garantire un’adeguata sicurezza e riservatezza dei dati personali, anche per impedire l’accesso o l’uso non autorizzato dei dati personali e delle apparecchiature utilizzate per il trattamento.
Un dibattito interessante nella giurisprudenza della Corte di Giustizia EU
Nella giurisprudenza europea, la Corte di Giustizia dell’Unione Europea (CJUE) ha svolto un ruolo chiave nello sviluppo e nel rafforzamento di questo principio. In particolare, due importanti sentenze della CJUE hanno contribuito a delineare i limiti della conservazione dei dati personali:
la sentenza Digital Rights Ireland del 2014 e la sentenza Tele2 e Watson del 2016.
La sentenza Digital Rights Ireland ha stabilito che la conservazione indiscriminata e generalizzata dei dati personali è incompatibile con i principi di necessità e proporzionalità, violando così i diritti fondamentali alla privacy e alla protezione dei dati delle persone interessate.
Successivamente, la sentenza Tele2 e Watson ha confermato e rafforzato il principio di limitazione della conservazione stabilendo che la conservazione dei dati di traffico e delle comunicazioni elettroniche può essere giustificata solo in presenza di una minaccia grave per la sicurezza nazionale o per la lotta alla criminalità grave, e solo se tale conservazione è soggetta a rigorose garanzie procedurali e di controllo.
Il provvedimento del Garante Italiano della protezione dei dati personali
il GPDP, con provv. 11.1.2023, n. 12, ha sanzionato una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utente), senza espresso consenso degli interessati.
Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio, vi erano anche password (OTP), credenziali e dati appartenenti alle categorie particolari.
Il Garante, a tal riguardo, ha sostenuto che non sussiste un presupposto giuridico in merito all’obbligo di conservazione e, di conseguenza, è necessario raccogliere il consenso libero e specifico per tale trattamento.
Ancora, il GPDP, con il provv. 27.4.2023, n. 188, ha sanzionato una società (BENETTON) per aver trattato illecitamente i dati personali di un numero rilevante di clienti e di ex clienti, senza limiti temporali di conservazione in relazione alle finalità di marketing e di profilazione.
Nello specifico, l’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti.
Minimizzazione e conservazione dei dati personali nei sistemi di videosorveglianza
Nell’ambito dell’installazione di impianti di videosorveglianza, il tema della minimizzazione e della limitazione della conservazione dei dati assume un ruolo di grande importanza.
Linee guida 3/2019
A tale proposito, le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” adottate dal Comitato europeo per la protezione dei dati (EDPB) il 29 gennaio 2020 e le FAQ sulla videosorveglianza del Garante del 5 dicembre 2020 forniscono importanti indicazioni in merito.
Le linee guida del EDPB chiariscono che l’attività di videosorveglianza deve essere condotta nel rispetto del principio di minimizzazione dei dati.
Ciò implica che il titolare del trattamento deve scegliere modalità di ripresa e dislocazione dell’impianto che riducano al minimo la raccolta di dati personali.
Inoltre, i tempi di conservazione dei dati devono essere determinati in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone interessate.
Salvo specifiche norme di legge che prevedano durate determinate, spetta al titolare del trattamento argomentare in maniera articolata ed esaustiva la necessità di conservare i dati per periodi più lunghi.
Le FAQ sulla videosorveglianza del Garante
Secondo le FAQ del Garante, i dati personali raccolti tramite videosorveglianza dovrebbero essere cancellati dopo pochi giorni, a meno che il titolare del trattamento non fornisca una giustificazione valida e documentata per una conservazione più prolungata. Tale giustificazione dovrebbe tenere conto delle finalità del trattamento, del contesto specifico e dei rischi per i diritti e le libertà delle persone interessate.
Esempiomodificaremodifica fonte
Jacque è un fisioterapista. Secondo la legge applicabile, Jacque deve conservare tutte le informazioni rilevanti ai fini fiscali per sette anni.
Le leggi sugli operatori sanitari gli impongono di conservare la documentazione del paziente per due anni. In caso di mancato pagamento il termine di prescrizione è di tre anni.
Una volta scadute queste tempistiche, Jacque cancella tutti i dati personali. Il suo software di documentazione del paziente cancella automaticamente le informazioni dopo un periodo prestabilito.
Fa le sue finanze in un grande foglio di calcolo. Qui deve eliminare manualmente le informazioni. A Jacque piacciono anche i numeri e le statistiche, quindi conserva ancora tutte le statistiche sui suoi redditi o le statistiche sui casi di garanzia degli ultimi vent’anni, ma ha rimosso i dati personali in essi contenuti per conformarsi all’articolo 5, paragrafo 1, lettera e).
Come deve comportarsi il titolare?
Non è sufficiente che il titolare del trattamento si attenga al periodo di conservazione che ha deciso in anticipo o a quello che ha informato l’interessato, il titolare del trattamento deve essere in grado di dimostrare che i dati personali sono conservati solo per il tempo necessario alla finalità per le quali sono stati raccolti o per le quali sono stati successivamente trattati.
Il GDPR impone al titolare del trattamento il dovere attivo [di cancellare i dati senza dover attendere un’azione da parte dell’interessato (ad esempio ai sensi dell’articolo 17 GDPR ). Il titolare deve cancellare in modo proattivo le informazioni. In pratica, il principio prevede che il titolare del trattamento attui pratiche di cancellazione o sistemi di cancellazione automatica.
Come determinare il limite temporale?
Il tempo entro il quale deve essere eseguita l’eventuale cancellazione dipende dallo scopo.
In molti casi esistono scadenze legali fisse, come gli obblighi di tenuta dei registri o i termini di prescrizione che determinano la necessità di conservare i dati.
In altri casi, il termine dipende da altri elementi fattuali (ad esempio quando un cliente recede da un contratto) che rendono il trattamento continuato irrilevante ai fini.
Ci sono anche casi in cui non esiste un numero chiaro di giorni per conservare le informazioni. Poiché non esiste un termine generale, il titolare del trattamento deve effettuare un’analisi fattuale caso per caso.
Conservazione oltre il conseguimento delle finalità
Conservazione e trattamento dei dati personali oltre il conseguimento delle finalità inizialmente stabilite sono possibili anche nella misura in cui il titolare del trattamento abbia svolto con esito positivo un test di compatibilità tra le finalità iniziali e i trattamenti ulteriori (serve ovviamente l’informativa)
Inoltre, i dati personali possono continuare ad essere conservati in ogni caso in forma anonimizzata, che non consenta quindi l’identificazione degli interessati, a condizione che la tecnica di anonimizzazione impiegata sia efficace e irreversibile, ossia che dai dati definitivamente anonimizzati non si possa più risalire all’identità degli interessati cui tali dati si riferiscono.
In tale contesto, è importante sottolineare che, secondo la posizione del Garante Privacy, l’anonimizzazione è una forma di trattamento di dati personali che quindi dovrà essere elencata nell’informativa sul trattamento dei dati personali ed avere una propria base giuridica che la legittimi.
Policy sulla conservazione o “data retention”
Al fine di poter attuare efficacemente il principio di limitazione della conservazione, ogni titolare del trattamento dovrebbe adottare una policy interna sulla conservazione dei dati o “data retention”.
La policy in questione consente al titolare di stabilire e documentare i diversi periodi di conservazione dei dati con riferimento a ciascuna finalità, in conformità al principio di responsabilizzazione o accountability.
In questo modo, il titolare dovrebbe essere in grado di procedere alla cancellazione o anonimizzazione dei dati laddove le finalità del trattamento siano state conseguite e di documentare gli eventuali trattamenti ulteriori ritenuti compatibili con le finalità iniziali.
La policy sulla conservazione non va intesa come un documento statico, bensì come uno strumento operativo da mantenere continuamente aggiornato.
