Cosa possono e devono fare i DPO per verificare la conformità dei titolari al GDPR? L’ICO (Information Commissioner's Office), Autorità Garante Inglese per la protezione dei dati personali, ci viene in aiuto con una data retention checklist.
Alcune delle più recenti sanzioni milionarie comminate dalle Autorità di controllo europee hanno un elemento in comune: la violazione, da parte del titolare del trattamento, del principio fondamentale di limitazione della conservazione dei dati personali.
A distanza di quattro anni dalla data di applicazione del Regolamento europeo in materia di protezione dei dati personali, molte organizzazioni continuano ad operare in violazione del principio di cui all’articolo 5, par.1, lettera e), e del correlato obbligo previsto dal considerando 39, ovvero di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario.
Cosa possono e devono fare i DPO per verificare la conformità dei titolari al GDPR? L’ICO (Information Commissioner's Office), Autorità Garante Inglese per la protezione dei dati personali, ci viene in aiuto con una data retention checklist.
Cosa dice la norma
Prima di analizzare nel dettaglio le recenti sanzioni irrogate dalle Autorità di controllo europee, è necessario fare una piccola premessa, illustrando la cornice normativa di riferimento. Il principio di “limitazione della conservazione” dei dati personali si colloca fra i principi fondamentali del GDPR, la cui violazione rientra nella fattispecie sanzionatoria più grave, quella prevista dall’articolo 83 par. 5, il quale prevede che, la violazione dei principi di base del trattamento, è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
L’articolo 5, paragrafo 1, lettera e), del Regolamento dispone che i dati personali siano: “e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Deroghe al principio sono previste esclusivamente in caso di trattamenti svolti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, par. 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate a tutelare i diritti e le libertà degli interessati.
Il considerando 39 al Regolamento, esplicita l’obbligo per il titolare di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” e dispone che, a tal fine, “il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica”.
Sanzioni in Italia
Lo scorso 10 febbraio l’Autorità Garante per la protezione dei dati personali ha comminato una sanzione di 20 milioni di euro alla società americana Clearview AI, per aver attuato un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano.
Fra le altre cose, nel corso dell’istruttoria, attivata a seguito dei reclami e delle segnalazioni ricevute dagli interessati, l’Autorità ha contestato anche la violazione dell’articolo 5, par. 1, lett. e), del Regolamento, Il principio di “limitazione della conservazione”. Nel caso in esame, Clearview è stata sanzionata per:
- Non aver indicato alcun periodo di conservazione all’interno della privacy policy
- Non aver indicato alcun periodo di conservazione all’interno dei riscontri forniti all’Autorità nel corso dell’istruttoria (risultati incompleti)
- Non aver fornito risposte esaustive ai reclami presentati dagli interessati
- Aver creato un database, stratificato ed alimentato in modo progressivo e costante, di dati personali (immagini) conservate per un periodo di tempo indeterminato, ovvero fino a espressa richiesta di cancellazione da parte degli interessati
Considerando tutti questi elementi, la sanzione pecuniaria è stata commisurata al massimo edittale di cui al sopracitato articolo 83, ovverosia complessivi 20 milioni di euro, di cui, nel dettaglio, 3,8 milioni di euro per ciascuna violazione degli artt. 5, 6 e 9 del Regolamento.
Sanzioni in Europa
Il 5 aprile, il "Datatilsynet", Autorità danese per la protezione dei dati, a seguito di un'indagine avviata nel novembre 2020, ha comunicato di aver denunciato Danske Bank A/S alla polizia e raccomandato una ammenda di 10 milioni di corone danesi (circa 1,3 milioni di euro), per violazioni riguardanti la cancellazione dei dati personali ai sensi del Regolamento generale sulla protezione dei dati.
In particolare, il Datatilsynet ha sanzionato per non aver documentato se sono state stabilite regole per la cancellazione e la conservazione dei dati personali, o se la cancellazione manuale dei dati personali è stata effettuata.
Da quanto esposto dal Datatilsynet si evince chiaramente la correlazione fra il principio di limitazione della conservazione ed il principio di accountability, il quale implica che il titolare sia in grado di comprovare il rispetto del GDPR e, pertanto, di dimostrare, con l’ausilio di idonea documentazione (leggi ‘data retention policy’), le regole che definiscono la conservazione e la cancellazione automatizzata o manuale dei dati personali.
Infine, il Datatilsynet ha specificato che, nel valutare l'importo della sanzione da infliggere alla Danske Bank, ha considerato sia il fatto che la violazione riguardava un principio fondamentale del GDPR, sia il fatto che andava ad impattare su un gran numero di interessati.
Pochi giorni dopo la comunicazione del "Datatilsynet", il 7 aprile 2022, l'autorità olandese per la protezione dei dati ("AP") ha imposto un'ammenda pari a 3,7 milioni di euro al ministero delle Finanze, a seguito di un'indagine condotta sul trattamento dei dati personali nel contesto dell'applicazione di segnalazione delle frodi ("FSV"). L'AP ha evidenziato che, nel periodo dal 4 novembre 2013 al 27 febbraio 2020, l'Amministrazione delle imposte e delle dogane ha agito in violazione dei principi generali, fra cui quello di limitazione della conservazione, trattando dati personali nel contesto dell’FSV.
In particolare, l’AP ha sanzionato per aver agito in violazione del principio di limitazione della conservazione stabilito dall'articolo 5, par. 1, lettera e) del GDPR, conservando i dati personali (contenuti nell’FSV) più a lungo del periodo di conservazione applicabile per legge.
In conclusione, l'AP ha ritenuto opportuno, in considerazione della gravità della violazione, imporre al Ministero una multa di 3,7 milioni di euro, di cui 250.000 euro, per violazione del principio di limitazione della conservazione.
Una policy in materia di data retention
Dall’analisi delle ultime sanzioni si possono trarre delle considerazioni importanti, soprattutto rispetto alla necessità di organizzarsi e di formalizzare un documento che dimostri quali regole ha imposto l’organizzazione sulla conservazione dei dati personali trattati.
La policy in materia di data retention dovrebbe quindi andare a definire la tipologia di dati personali presenti all’interno degli archivi del titolare (informatizzati o cartacei), per quali scopi questi vengono usati, per quanto tempo vengono conservati e come avviene la cancellazione (manuale o automatizzata, con quali mezzi di dismissione sicura, etc.). Secondo l’Autorità Garante inglese per la protezione dei dati personali (“ICO”), un piano di conservazione dei dati può far parte di un più ampio "registro delle risorse informative" (“Information Asset Register” o IAR).
Determinare e documentare i termini di conservazione però non basta: la data retention policy dovrebbe essere corredata da protocolli di applicazione pratica, per far si che l’organizzazione effettivamente rispetti quanto previsto dalla policy e sia pronta ad intervenire in caso di cambiamenti determinati nei trattamenti svolti. Si tratta quindi di un documento dinamico - in quanto in continua revisione ed evoluzione - e flessibile - considerando, ad esempio, che deve consentire, ove necessario, la cancellazione anticipata.
L’ICO specifica che le piccole organizzazioni potrebbero fare a meno di una politica di conservazione documentata, ciò non esclude tuttavia gli obblighi, in capo a tutti i titolari, di rivedere regolarmente i dati di cui si è in possesso; di cancellare o rendere anonime le informazioni personali non più necessarie; di trovare uno strumento che, in accountability, consenta di dimostrare le scelte effettuate nel determinare la conservazione dei dati trattati.
Determinare e rivedere periodicamente la conservazione dei dati
Secondo l’ICO il titolare dovrebbe considerare una serie di elementi:
- gli scopi dichiarati per l'elaborazione dei dati personali. Il titolare può conservare i dati finché uno di questi scopi è ancora valido, ma non dovrebbe conservare i dati indefinitamente "solo nel caso" in cui ci sia una possibilità, anche remota, che si verifichi un determinato evento;
- se vi è l’esigenza di conservare i dati una volta terminata la relazione con l’interessato (ad esempio, in modo da poter confermare che la relazione è esistita - e che è finita - così come alcuni dei suoi dettagli);
- se vi è l’esigenza di difendere possibili rivendicazioni legali future. In tale contesto, il titolare dovrebbe comunque cancellare le informazioni non rilevanti per tale finalità;
- gli specifici requisiti legali o normativi presenti;
- i massimari, gli standard o linea guida di settore pertinenti. Le linee guida del settore sono un buon punto di partenza per definire periodi di conservazione standard e adottano un approccio ponderato. Attenzione però, in quanto non sempre garantiscono la conformità: il titolare dovrà comunque essere in grado di spiegare perché questi periodi sono giustificati e adeguati alla propria realtà.
Una volta definiti e formalizzati i termini, il titolare dovrebbe anche rivederli periodicamente, e rivalutare in che modo la conservazione stabilita impatta sugli interessati. Anche in questo caso non c'è una regola fissa sulla cadenza delle revisioni, l’organizzazione dovrà considerare il rischio insito ai trattamenti svolti.
Il modello di assessment dell’ICO
L’ICO, oltre a fornire utili indicazioni per i titolari del trattamento, mette a disposizione un tool di valutazione della conformità al principio di limitazione della conservazione. I vari punti dell’assessment possono costituire la base di audit condotti dai DPO dell’azienda/ente/organizzazione sul rispetto dei principi, in particolare del principio di cui all’art. 5 lettera e) del Regolamento europeo.
Gestione dei record di gestione e organizzazione
- L’azienda ha definito e assegnato le responsabilità di gestione dei record?
- L’azienda ha approvato e pubblicato un'appropriata politica di gestione dei documenti?
- Questa è soggetta a un regolare processo di revisione?
- L’azienda ha identificato i rischi di gestione dei record come parte di un più ampio processo di gestione del rischio informativo?
- L’azienda incorpora la gestione dei documenti in un programma di formazione?
- Questo programma comprende una formazione obbligatoria con materiale di aggiornamento base, e una formazione specialistica per coloro che hanno funzioni specifiche di gestione dei documenti?
- L’azienda effettua controlli periodici sulla sicurezza dei documenti e c'è un monitoraggio della conformità alle procedure di gestione dei documenti?
Creazione e mantenimento dei record
- L’azienda ha stabilito degli standard minimi per la creazione di record cartacei o elettronici?
- L’azienda ha identificato dove utilizzi sistemi di registrazione manuali ed elettronici e mantiene attivamente un registro centralizzato di tali sistemi?
- L’azienda dispone di processi per garantire che i dati personali che raccogliete siano accurati, adeguati, pertinenti e non eccessivi?
- Esegui revisioni regolari per rimuovere qualsiasi dato personale o registrazione che sia obsoleto o non più rilevante?
Tracciatura e archiviazione fuori sede
- L'azienda dispone di meccanismi di tracciamento per registrare il movimento dei documenti manuali e garantire la loro sicurezza tra l'ufficio e le aree di conservazione, anche nei casi in cui i documenti vengono portati fuori sede?
- L’azienda dispone di misure appropriate per trasferire i documenti elettronici fuori sede e proteggere i dati personali da perdite o furti?
- L’azienda archivia i documenti cartacei ed elettronici in modo sicuro con controlli ambientali appropriati e livelli di sicurezza più elevati per categorie speciali di dati personali?
Accesso ai registri
- L’azienda limita l'accesso alle aree di archiviazione dei documenti per prevenire accessi non autorizzati, danni, furti o perdite?
- L’azienda implementa un accesso basato sui ruoli e lo controlla regolarmente?
- L’azienda ha un processo per assegnare e gestire gli account utente alle persone autorizzate e per rimuoverli quando non sono più appropriati?
- L’azienda dispone di piani di continuità aziendale in caso di disastro? Questo include l'identificazione i record che sono critici per il funzionamento continuo o la ricostituzione dell’azienda.
- L’azienda esegue regolarmente il backup dei dati memorizzati elettronicamente per aiutare a ripristinare le informazioni, se necessario?
- L’azienda dispone di un programma di conservazione e di smaltimento che indica in dettaglio per quanto tempo conservate i dati manuali ed elettronici?
- L’azienda ha processi di smaltimento dei rifiuti confidenziali per garantire che i documenti siano distrutti secondo uno standard appropriato?
L’Associazione ASSO DPO promuove la condivisione di informazioni utili a favorire la crescita professionale dei DPO. Iscriviti alla newsletter e tieni d’occhio la nostra sezione news per restare sempre aggiornato.