Errato conservare dati in eterno "perché non si sa mai….potrebbero sempre servire". Le norme sulla raccolta, trattamento e conservazione dei dati personali

Raccolta e trattamento

[Torna su]

Per ragioni professionali raccogliamo e trattiamo dati personali di altri soggetti. Tutti sappiamo che - salvo rare eccezioni - la raccolta e il trattamento sono subordinati al rilascio del consenso da parte dell'interessato, vale a dire del soggetto cui i dati si riferiscono. A prescindere da tale aspetto, il trattamento dei dati personali non è eterno. Vi è un momento in cui esso deve cessare. Certamente il trattamento e la conservazione devono essere interrotti se l'interessato ne fa esplicita richiesta.

La domanda però è un'altra: quali sono i miei diritti e doveri con riferimento ai dati che ho raccolto per dare seguito a un obbligo di legge, ovvero relativamente a quelli raccolti per la tutela di un diritto in sede giudiziaria, e che quindi non hanno richiesto l'acquisizione del consenso dell'interessato?

Conservazione e cancellazione dei dati

[Torna su]

L'articolo 5, comma 1, lettera e) del GDPR stabilisce che i dati personali raccolti non possono essere conservati per un periodo superiore a quello necessario al raggiungimento della finalità che ne ha reso necessario il trattamento. Ma è davvero così? Quali sono, in termini pratici, i reali limiti temporali?

I dati dei clienti trattati per la gestione degli incarichi professionali, possono essere conservati per dieci anni dalla cessazione dell'incarico. Lo stesso dicasi per i dati dei fornitori relativi ai servizi da noi ricevuti.

I dati dei clienti trattati per dare seguito agli adempimenti fiscali, oppure per qualsiasi altro obbligo di legge, possono essere conservati per il tempo imposto dalla norma di riferimento (in genere 5-10 anni).

I dati di terzi e/o della controparte, ovvero a chiunque appartenenti e raccolti per l'esecuzione del mandato professionale, possono essere conservati per il tempo strettamente necessario al raggiungimento della finalità indicata nell'incarico.

I dati degli aspiranti dipendenti/collaboratori (generalmente si tratta di CV) possono essere conservati per sei mesi con riferimento agli aspiranti a posizioni lavorative di minor rilievo; fino a dodici mesi per gli aspiranti a posizioni per mansioni di una certa rilevanza o responsabilità.

I dati dei dipendenti/collaboratori possono invece essere conservati per un massimo di dieci anni.

I dati di qualsiasi soggetto trattati per finalità di marketing diretto o indiretto, ovvero per ragioni di profilazione, possono essere conservati fino alla revoca del consenso da parte dell'interessato.

In sintesi

[Torna su]

I dati dei clienti raccolti per obbligo di legge possono essere conservati per il periodo previsto dalla norma di riferimento. I dati dei clienti raccolti perché necessari all'erogazione della prestazione possono essere conservati per dieci anni. I dati dei soggetti connessi all'incarico ricevuto (ad esempio i terzi e/o la controparte) possono essere conservati per il tempo strettamente necessario al raggiungimento della finalità indicata nell'incarico professionale.

Al termine di ciascun periodo, i dati dovranno essere cancellati o resi anonimi. Aspetto questo cui siamo ancora piuttosto restii. Resiste infatti il convincimento che è sempre meglio raccogliere quante più informazioni possibili….non si sa mai mi dovessero servire. Circostanza che aumenta però le responsabilità in caso di perdita o sottrazione dei dati raccolti. Più ne abbiamo, più siamo a rischio. In questo può essere di aiuto il registro dei trattamenti e una verifica semestrale della documentazione privacy nel primo anno, e ogni dodici mesi a decorrere dal secondo anno.

Tutto quanto precede è ovviamente valido anche quando noi siamo l'interessato. Impariamo a far valere i nostri diritti con riferimento al trattamento e alla conservazione dei nostri dati. Non dobbiamo considerare la privacy solo come una serie di obblighi da rispettare, ma anche come un insieme di diritti da poter esercitare in relazione al trattamento e alla conservazione dei nostri dati personali. Iniziamo a considerarci come due facce della stessa medaglia. Siamo tutti "titolari del trattamento", ma tutti siamo anche degli "interessati".


Foto: 123rf.com
In evidenza oggi: