Data retention: cos'è
di Alessandro Pagliuca - Alla base della conservazione dei dati c'è sicuramente la "data retention" ossia il periodo per il quale i dati devono essere conservati. Questo elemento è fondamentale perché permette successivamente d'individuare in modo corretto anche i criteri con i quali bisogna procedere alla conservazione dei dati, riuscendo di conseguenza a individuare le criticità in caso di trattamento dei dati per un lungo periodo.
Quindi vediamo insieme cos'è la data retention, e quali sono i criteri per una conservazione corretta dei dati personali.
- Data Retention: come si può usare per la conservazione dei dati?
- Come conservare i dati: i criteri principali
- Dpo: gli assunti da seguire
Data Retention: come si può usare per la conservazione dei dati?
La Data Retention è un'espressione che prevede l'esigenza di stabilire un periodo per la conservazione dei dati personali, oltre il quale questi devono essere obbligatoriamente cancellati.
Dunque, il principio di data retention indica il periodo della conservazione dei dati come previsto dal GDPR che all'articolo 11 specifica che: i dati debbano essere conservati in una forma tale che permetta l'identificazione del soggetto interessato per un periodo di tempo che non superi quello che serve agli scopi per il quale essi sono stati raccolti e trattati, anche se l'interessato non richiede la loro cancellazione mediante comunicazione scritta.
L'imposizione di un periodo specifico di conservazione dei dati, nasce per permettere a chi ha sottoscritto un contratto o rilasciato i dati per un specifico scopo a non rimanere registrato per un tempo superiore a quello che serve all'azienda o ente a portare al termine lo scopo per il quale erano stati richiesti. Il tempo conservativo dei dati, permette di valutare con più attenzione sia i criteri di conservazione per il periodo utile sia quelli poi per la corretta cancellazione dai propri archivi e registri.
Come conservare i dati: i criteri principali
I dati generalmente possono essere conservati con vari aspetti e modalità. In linea generale, per rispettare correttamente le regole previste sia dal Garante sia dal GDPR, questi possono essere archiviati o in moduli cartacei o elettronici, oppure in entrambi i modi.
Il modo con il quale si desidera conservare i dati dipende dalla azienda e dal tipo di raccolta effettuata, e sopratutto dal periodo per il quale è necessaria la loro conservazione. Per quanto riguarda i dati cartacei questi offrono una maggiore sicurezza nell'ambito della cancellazione finale, in quanto basta eliminare i moduli con un trita documenti o incenerendoli, che i dati non sono più a disposizione di nessuno.
Per quanto riguarda i dati informatici, purtroppo non esiste la certezza al 100% che i dati siano scomparsi completamente dal sistema informatico nel quale sono stati inseriti. In quanto, sarebbe impensabile distruggere computer o server ogni qual volta si devono eliminare i dati. Quindi negli archivi automatizzati informatici, l'unico criterio da seguire è quello di cercare di eliminare ogni traccia dei dati sensibili riconducibile a una persona specifica al fine di evitare anche se involontariamente la diffusione dei dati.
Dunque i criteri da rispettare per la giusta conservazione dei dati, devono essere stabiliti dal DPO, che deve procedere in modo attento al mantenimento di questi solo per il periodo utile allo scopo per il quale sono stati assunti. Inoltre, il Responsabile deve gestire i dati personali, in modo tale che non siano riconducibili nell'immediato a una specifica persona fisica, specie quando si fa riferimento a quelli informatizzati che sono più semplicemente acquisibili da terzi, da malintenzionati come ad esempio hacker.
Infine, nel caso in cui si debba avere obbligatoriamente in archivio dati precisi riconducibili in modo univoco a un soggetto, ci si deve obbligatoriamente dotare di sistemi di protezione informatica di alto livello, come ad esempio succede nelle banche, dove i dati seguono una crittografia difficile da hackerare.
Dpo: gli assunti da seguire
In linea generale, per stabilire i criteri per il trattamento dati il DPO deve seguire alcuni assunti quali:
- gli obblighi di legge a livello nazionale e internazionale
- le disposizioni giurisprudenziali dati dall'autorità, dalle associazioni di categoria, dalla pubblica amministrazione
- verifica del periodo necessario al mantenimento dei dati
- salvaguardia attenta dei contenuti degli archivi, specialmente quelli informatici.
Dott. Alessandro Pagliuca
Privacy Specialist
Data: 17/04/2020 15:00:00Autore: Alessandro Pagliuca