insegnante-immagine-animata-0049

In Danimarca, l’autorità garante locale ha sanzionato con importi variabili da 160.000 a 200.000 € due aziende che non avevano determinato il tempo di conservazione di dati personali. Un’azienda gestiva delle auto pubbliche, i dati dei clienti venivano conservati per tempi praticamente illimitati. Un’altra sanzione, è stata applicata ad una azienda che vendeva oggetti di arredo, che non aveva messo a punto una politica di conservazione dei dati.

La commissione federale per il commercio degli Stati Uniti, ha più volte ricordato, a tutte le aziende che non possono mantenere dati personali nei propri archivi, se non per ragioni ben motivate.

Purtroppo, nella maggioranza dei casi, i titolari delle aziende sono più preoccupati di perdere i dati, che non di cancellarli quando non più necessari. Ecco perché, praticamente tutte le aziende dispongono di una politica per la realizzazione di copie di backup, per una opportuna salvaguardia di queste copie nel cloud o presso altri servizi informativi, mentre spesso non hanno assunto alcuna decisione in merito al tempo di conservazione dei dati stessi.

L’autorità garante italiana ha individuato, in termini concreti, solo i tempi di conservazione massimi per le videoregistrazioni, mentre per altre categorie di dati vale il principio generale che suona così:

la durata di conservazione deve essere la minima possibile, compatibilmente con le finalità per cui i dati vennero raccolti.

Nel mettere a punto questa politica, i titolari, con l’assistenza dei responsabili del trattamento e dei responsabili della protezione dei dati, devono  esaminare la presenza di eventuali vincoli di natura legislativa o amministrativa. Ad esempio, per la conservazione di dati di fatturazione esistono delle regole ben precise, che devono essere sempre rispettate.

In altri casi, come ad esempio le cartelle cliniche ospedaliere, la legge stabilisce che il termine di conservazione sia illimitato. Questo è il motivo per cui molte strutture sanitarie hanno deciso di convertire in forma digitale le cartelle cliniche, per recuperare spazio prezioso nelle strutture ospedaliere.

Una volta verificata l’esistenza o l’assenza di eventuali vincoli legali, il titolare deve valutare, le finalità per cui i dati sono stati raccolti e, sulla base di questo esame, decidere il da farsi. Un classico esempio è la raccolta di dati personali relativi alla gestione di un questionario di marketing. Quando la raccolta dei dati è ultimata e sono stati estratti i dati statistici, e quindi per definizione anonimi, non vi è più alcuna ragione per conservare le schede, che in origine erano state compilate dagli interpellati. E’ evidente, che l’obiettivo del questionario è quello di raccogliere valutazioni su prodotti e non già nomi e cognomi, di chi queste valutazioni ha emesso.

Nel compilare una politica di conservazione dei dati, occorre anche dedicare qualche spazio alla individuazione dei luoghi dove i dati sono conservati: questa è una esigenza fondamentale, perché, quando si procederà alla distruzione di dati, occorre essere certi che i dati vengano cancellati, ovunque essi si trovino. Se i dati sono su supporto cartaceo l’indagine è più semplice, ma quando i dati sono su supporto informatico è possibile che ne esistano numerose copie, sparpagliate in vari sistemi informativi o addirittura nel cloud. Sono tutti elementi che il titolare deve prendere in considerazione nello sviluppare la politica di conservazione dei dati.

Per dare concreta attuazione a questo obbligo ecco cosa si dovrebbe fare:

  • il problema deve essere sottoposto al titolare, e specificamente approvato,
  • deve essere creato un tavolo di confronto, dove siano presenti tutti i soggetti che possono contribuire a determinare la durata di conservazione dei dati e soprattutto la individuazione dei luoghi dove i dati sono conservati,
  • si deve attivare una politica di cancellazione automatica, dove possibile, per semplificare il rispetto della politica di conservazione e di cancellazione,
  • tutti gli atti sviluppati da questa commissione devono essere documentati da un verbale, che potrà essere esibito alle autorità ispettive, per giustificare le scelte intraprese,
  • infine, questi documenti devono essere riesaminati, ad intervalli non superiori ad un anno, per essere certi che essi siano continuamente aggiornati e conformi ad eventuali nuove prescrizioni legislative od amministrative, emesse dalle pubbliche amministrazioni o delle autorità garanti nazionali.

RossellaPrivacyIn Danimarca, l’autorità garante locale ha sanzionato con importi variabili da 160.000 a 200.000 € due aziende che non avevano determinato il tempo di conservazione di dati personali. Un’azienda gestiva delle auto pubbliche, i dati dei clienti venivano conservati per tempi praticamente illimitati. Un’altra sanzione, è stata applicata ad...