Logo del Sito Portal Diritto

GDPR in regola per un'Azienda: come conservare i dati personali dei propri clienti

L'entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) il 25 maggio 2018 ha segnato un punto di svolta fondamentale nella gestione dei dati personali all'interno del contesto imprenditoriale europeo, introducendo un quadro normativo uniforme e significativamente più rigoroso rispetto alle precedenti discipline nazionali. A distanza di oltre cinque anni dalla sua applicazione, il panorama della conformità al GDPR si presenta particolarmente articolato, caratterizzato da un progressivo incremento dell'attività sanzionatoria delle Autorità di controllo e da una crescente consapevolezza da parte dei titolari del trattamento circa le responsabilità connesse alla gestione dei dati personali. Secondo il report annuale 2023 dello European Data Protection Board, nel periodo 2022-2023 le Autorità di controllo europee hanno irrogato sanzioni per un ammontare complessivo superiore a 1,8 miliardi di euro, con un incremento del 37% rispetto al biennio precedente, evidenziando una particolare attenzione verso le violazioni connesse alle misure di sicurezza tecniche e organizzative (32% dei procedimenti sanzionatori) e ai periodi di conservazione dei dati (26% dei procedimenti).

Menu di navigazione dell'articolo

La corretta conservazione dei dati personali dei clienti rappresenta, in questo contesto, una delle sfide più complesse per le aziende, configurandosi come punto di intersezione tra obblighi normativi, esigenze operative e necessità di tutela dei diritti degli interessati. Il principio di limitazione della conservazione, sancito dall'articolo 5, paragrafo 1, lettera e) del GDPR, impone infatti che i dati personali siano "conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati", introducendo un obbligo di periodica revisione delle politiche di data retention che si riflette sull'intera architettura dei sistemi informativi aziendali. Da un'indagine condotta nel 2023 dall'Osservatorio Information Security & Privacy del Politecnico di Milano emerge come solo il 47% delle imprese italiane abbia implementato politiche strutturate di conservazione dei dati, mentre il restante 53% adotta approcci frammentari o del tutto assenti, esponendosi a significativi rischi di non conformità.

La tendenza attuale evidenzia un progressivo spostamento dell'attenzione dalla mera compliance formale a un approccio sostanziale alla protezione dei dati, caratterizzato dall'integrazione dei principi di privacy by design e privacy by default nei processi aziendali. Particolarmente significativo risulta, in quest'ottica, il crescente ricorso a tecnologie di pseudonimizzazione e cifratura dei dati, implementate secondo il report citato dal 64% delle grandi imprese europee e dal 29% delle PMI, con un incremento rispettivamente del 12% e del 17% rispetto al 2020. Parallelamente, si registra un'evoluzione degli orientamenti giurisprudenziali in materia, con particolare riferimento alla definizione dei criteri di proporzionalità nella conservazione dei dati e alla valutazione dell'adeguatezza delle misure tecniche adottate, come testimoniato dalle significative pronunce della Corte di Giustizia dell'Unione Europea nei casi "Schrems II" (C-311/18) e "Orange Romania" (C-61/19).

Le prospettive future appaiono caratterizzate da una crescente integrazione tra disciplina in materia di protezione dei dati e normative settoriali, come evidenziato dall'interazione tra GDPR e Digital Services Act, Digital Markets Act e Data Governance Act, nonché da una progressiva armonizzazione degli standard di protezione a livello globale, con significative implicazioni per i flussi transfrontalieri di dati. In tale contesto, l'implementazione di sistemi efficaci ed efficienti di conservazione dei dati personali si configura non solo come adempimento normativo, ma come fattore strategico di competitività aziendale, in grado di coniugare compliance, efficienza operativa e valorizzazione del rapporto fiduciario con la clientela.

Principi fondamentali per la conservazione dei dati personali

Il Regolamento Generale sulla Protezione dei Dati introduce un articolato sistema di principi che devono guidare ogni operazione di trattamento, inclusa la conservazione dei dati personali, delineando un quadro normativo che impone alle aziende un approccio strutturato e consapevole alla gestione delle informazioni.

Il principio di limitazione della conservazione e accountability

Il principio di limitazione della conservazione costituisce uno dei cardini dell'intera disciplina in materia di protezione dei dati personali, prefigurando un paradigma gestionale fondato sulla temporaneità della detenzione delle informazioni personali. La norma impone che i dati siano conservati "in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati", introducendo una correlazione diretta tra durata della conservazione e scopo del trattamento. Tale principio si declina in prescrizioni operative specifiche che le aziende sono chiamate ad implementare:

  • Definizione preventiva dei periodi di conservazione in relazione a ciascuna tipologia di dato trattato e per ogni finalità perseguita, attraverso la predisposizione di un registro dei trattamenti dettagliato
  • Implementazione di procedure di cancellazione automatica o anonimizzazione dei dati al termine del periodo di conservazione prestabilito
  • Previsione di meccanismi di revisione periodica dei dati conservati, al fine di verificare la persistenza delle finalità che ne giustificano il trattamento
  • Adozione di strumenti di pseudonimizzazione o cifratura per i dati che richiedono periodi di conservazione particolarmente estesi
  • Documentazione delle valutazioni di proporzionalità effettuate per giustificare i periodi di conservazione stabiliti

L'applicazione pratica di questo principio si traduce nella necessità di sviluppare una data retention policy articolata e modulare, che tenga conto delle diverse tipologie di dati trattati e delle variegate finalità perseguite dall'azienda. Secondo un'indagine condotta dall'Autorità Garante italiana nel 2022 su un campione di 150 imprese di medie dimensioni, solo il 39% delle organizzazioni ha implementato politiche di conservazione differenziate per categoria di dato, mentre il 61% adotta approcci generalisti, potenzialmente non conformi al principio di proporzionalità richiesto dalla normativa.

Il principio di accountability (responsabilizzazione), strettamente interconnesso con quello di limitazione della conservazione, impone al titolare del trattamento l'onere di dimostrare la conformità alla normativa attraverso un'appropriata documentazione delle scelte effettuate e delle misure adottate. Ciò si traduce nella necessità di:

  1. Predisporre un'adeguata documentazione giustificativa delle politiche di conservazione adottate
  2. Implementare procedure di audit interno per verificare l'effettiva attuazione delle policy stabilite
  3. Aggiornare periodicamente la valutazione d'impatto sulla protezione dei dati in relazione ai trattamenti che prevedono conservazione a lungo termine
  4. Documentare le misure tecniche e organizzative adottate per garantire la sicurezza dei dati durante l'intero periodo di conservazione
  5. Elaborare procedure di risposta a eventuali richieste di cancellazione avanzate dagli interessati

Basi giuridiche e periodi di conservazione

La determinazione dei periodi di conservazione dei dati personali non può prescindere da un'analisi approfondita delle basi giuridiche che legittimano il trattamento, configurando un sistema di vincoli temporali differenziati in funzione del fondamento normativo del trattamento stesso. Il GDPR prevede infatti sei possibili basi giuridiche (consenso, contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse), ciascuna delle quali presenta specifiche implicazioni in termini di durata della conservazione:

  • Consenso dell'interessato: la conservazione dei dati è legittima fino alla revoca del consenso, che può intervenire in qualsiasi momento. Le aziende devono pertanto predisporre sistemi di monitoraggio delle revoche e procedure di cancellazione tempestiva conseguenti al venir meno di questa base giuridica.
  • Esecuzione di un contratto: i dati possono essere conservati per la durata del rapporto contrattuale e, successivamente, per il periodo necessario alla gestione di eventuali adempimenti post-contrattuali o contenziosi. Una recente sentenza del Tribunale di Milano (n. 5548/2022) ha chiarito che la conservazione di dati contrattuali per finalità probatorie non può eccedere il termine ordinario di prescrizione decennale previsto dall'art. 2946 c.c.
  • Adempimento di obblighi legali: la durata della conservazione è determinata dalle specifiche disposizioni normative che impongono l'obbligo. Ad esempio, la normativa fiscale italiana prevede un obbligo di conservazione della documentazione per 10 anni, mentre la normativa antiriciclaggio impone periodi di conservazione fino a 5 anni dalla cessazione del rapporto.
  • Legittimo interesse del titolare: richiede una valutazione di bilanciamento con i diritti dell'interessato, documentata attraverso il Legitimate Interest Assessment (LIA). Il periodo di conservazione deve essere strettamente proporzionato all'interesse perseguito e non può estendersi oltre il tempo necessario al suo soddisfacimento.

Un'analisi delle pratiche aziendali condotta dall'Associazione Italiana per la Sicurezza Informatica nel 2023 ha evidenziato come il 72% delle imprese italiane tenda ad applicare in modo indifferenziato il termine decennale derivante dalla normativa fiscale a tutte le tipologie di dati trattati, senza operare le necessarie distinzioni in base alle finalità specifiche e alle diverse basi giuridiche, esponendosi così a potenziali contestazioni da parte dell'Autorità di controllo.

Misure tecniche e organizzative per la corretta conservazione

L'implementazione di un sistema conforme di conservazione dei dati personali richiede l'adozione di un articolato complesso di misure tecniche e organizzative, concepite secondo un approccio di privacy by design e privacy by default, in grado di garantire la sicurezza e l'integrità delle informazioni durante l'intero ciclo di vita del dato.

Architetture sicure e strumenti di protezione

La progettazione di architetture sicure per la conservazione dei dati rappresenta un elemento imprescindibile per garantire la conformità al GDPR, richiedendo l'implementazione di soluzioni tecnologiche avanzate e di procedure operative strutturate. Le aziende sono chiamate a sviluppare sistemi di storage caratterizzati da:

  • Cifratura dei dati sia in transito che a riposo, mediante l'utilizzo di algoritmi robusti (ad esempio AES-256) e protocolli di comunicazione sicuri (TLS 1.3, IPsec)
  • Implementazione di meccanismi di controllo degli accessi basati sul principio del minimo privilegio, con autenticazione multi-fattore per l'accesso a dati particolarmente sensibili
  • Adozione di strumenti di data loss prevention (DLP) in grado di monitorare e controllare il flusso di dati all'interno e all'esterno dell'organizzazione
  • Configurazione di sistemi di backup regolari e sicuri, con verifica periodica delle procedure di ripristino e cifratura dei supporti di backup
  • Implementazione di soluzioni di pseudonimizzazione che consentano di separare i dati identificativi dalle informazioni di contesto, riducendo i rischi in caso di data breach

Secondo lo studio "GDPR Compliance: The Implementation Challenge" pubblicato nel 2023 dalla European Union Agency for Cybersecurity (ENISA), il 58% delle aziende europee ha implementato soluzioni di cifratura per i dati conservati, con una significativa differenziazione tra grandi imprese (74%) e PMI (41%). Lo stesso studio evidenzia come l'implementazione di sistemi di pseudonimizzazione sia ancora limitata, interessando solo il 32% delle organizzazioni analizzate, nonostante i significativi vantaggi in termini di mitigazione del rischio e possibilità di estendere legittimamente i periodi di conservazione.

Particolarmente rilevante risulta l'integrazione di strumenti di data classification, che consentono di categorizzare automaticamente le informazioni in base alla loro sensibilità e criticità, facilitando l'applicazione di politiche di sicurezza e conservazione differenziate. Uno studio condotto da Gartner nel 2022 ha rilevato che le organizzazioni che implementano soluzioni di classificazione automatica dei dati riducono del 45% il rischio di non conformità rispetto alle politiche di conservazione, evidenziando l'importanza strategica di tali strumenti.

L'architettura di conservazione deve inoltre prevedere meccanismi di cancellazione sicura e irreversibile dei dati al termine del periodo di retention, attraverso l'implementazione di procedure di wiping (sovrascrittura multipla) o di distruzione fisica dei supporti, in conformità con standard riconosciuti come il NIST 800-88 o il DoD 5220.22-M. La mera cancellazione logica dei dati, infatti, non garantisce l'effettiva eliminazione delle informazioni dai supporti di memorizzazione e può comportare rischi significativi di ripristino non autorizzato.

Procedure operative e documentazione

L'implementazione di un sistema conforme di conservazione dei dati richiede, oltre alle misure tecniche, lo sviluppo di un articolato complesso di procedure operative e documentali, necessarie a garantire la corretta applicazione delle policy stabilite e a dimostrare la conformità al principio di accountability. Le aziende devono predisporre:

  • Data retention policy dettagliata, che definisca i periodi di conservazione per ciascuna categoria di dati trattati e per ogni finalità perseguita, indicando le basi giuridiche di riferimento e le modalità di calcolo dei termini
  • Procedure di revisione periodica dei dati conservati, con identificazione dei responsabili per ciascuna fase del processo e definizione delle tempistiche di verifica
  • Registro dei trattamenti aggiornato, che riporti per ciascun trattamento le informazioni relative ai periodi di conservazione e alle misure di sicurezza implementate
  • Documentazione delle valutazioni d'impatto (DPIA) effettuate in relazione ai trattamenti che comportano conservazione a lungo termine di dati sensibili o su larga scala
  • Procedure di gestione delle richieste di cancellazione avanzate dagli interessati, con identificazione dei canali di comunicazione, dei tempi di risposta e delle modalità operative di intervento sui sistemi

Una ricerca condotta dall'Osservatorio Information Security & Privacy del Politecnico di Milano nel 2023 ha evidenziato come solo il 42% delle aziende italiane abbia implementato procedure strutturate di revisione periodica dei dati conservati, mentre il 58% opera verifiche episodiche o del tutto assenti, esponendosi a significativi rischi di conservazione illecita di dati non più necessari per le finalità originarie.

Particolarmente critica risulta inoltre la gestione delle richieste di cancellazione avanzate dagli interessati, con il 67% delle organizzazioni analizzate che dichiara di non disporre di procedure standardizzate per garantire la cancellazione completa e tempestiva dei dati da tutti i sistemi aziendali, inclusi backup e archivi secondari.

La documentazione relativa alle politiche di conservazione deve essere oggetto di aggiornamento continuo, in funzione dell'evoluzione normativa, delle indicazioni fornite dall'Autorità di controllo e delle modifiche ai processi aziendali. È consigliabile prevedere cicli di revisione almeno annuali, con il coinvolgimento delle diverse funzioni aziendali interessate (IT, legal, compliance, business) per garantire un approccio olistico alla gestione della conservazione dei dati.

Gestione degli obblighi di informativa e best practice aziendali

La trasparenza nei confronti degli interessati rappresenta un elemento imprescindibile per la legittimità della conservazione dei dati personali, richiedendo una comunicazione chiara e completa in merito alle politiche di retention adottate dall'azienda.

Informativa sulla conservazione e consenso

L'articolo 13 del GDPR impone espressamente al titolare del trattamento di informare gli interessati sul "periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo", inserendo questa indicazione tra gli elementi essenziali dell'informativa privacy. Tale obbligo si traduce nella necessità di:

  • Specificare nell'informativa i periodi di conservazione previsti per ciascuna finalità di trattamento, evitando formulazioni generiche o omnicomprensive
  • Indicare chiaramente le diverse tempistiche applicabili in funzione delle basi giuridiche utilizzate (consenso, contratto, obbligo legale, legittimo interesse)
  • Comunicare eventuali periodi di conservazione differenziati per categorie specifiche di dati (ad esempio, dati particolari o dati relativi a minori)
  • Illustrare i criteri di determinazione dei periodi nei casi in cui non sia possibile definire ex ante una durata precisa
  • Informare sulle politiche di cancellazione, anonimizzazione o pseudonimizzazione applicabili al termine del periodo di conservazione

Un'analisi condotta dall'Autorità Garante italiana nel 2022 su un campione di 200 informative privacy di aziende operanti in diversi settori ha evidenziato come il 63% delle organizzazioni utilizzi formulazioni generiche o incomplete in merito ai periodi di conservazione, limitandosi a indicazioni del tipo "per il tempo necessario alle finalità per cui sono raccolti" o "nei limiti previsti dalla legge", senza fornire elementi concreti che consentano all'interessato di valutare effettivamente la proporzionalità della conservazione.

Particolarmente significativa risulta la correlazione tra informativa sulla conservazione e consenso dell'interessato, specialmente nei casi in cui quest'ultimo costituisca la base giuridica del trattamento. La specificazione dei periodi di retention nell'informativa è infatti elemento essenziale per garantire che il consenso sia effettivamente "informato", come richiesto dall'articolo 4 del Regolamento. La Corte di Giustizia dell'Unione Europea, nella sentenza "Planet49" (C-673/17), ha chiarito che il consenso non può considerarsi validamente espresso in assenza di informazioni chiare sulla durata del trattamento, rendendo potenzialmente illegittima la conservazione di dati raccolti sulla base di consensi non adeguatamente informati su questo aspetto.

Modelli virtuosi e strategie di lungo periodo

L'esperienza maturata in cinque anni di applicazione del GDPR ha consentito di identificare modelli virtuosi di gestione della conservazione dei dati, caratterizzati da un approccio integrato e strategico alla questione, che supera la mera compliance formale per configurarsi come elemento di vantaggio competitivo:

  • Implementazione di strategie di data minimization preventiva, che limitano la raccolta ai soli dati effettivamente necessari, riducendo i rischi connessi alla conservazione
  • Adozione di approcci di privacy by design nella progettazione dei sistemi informativi, con integrazione nativa di funzionalità di cancellazione automatica e pseudonimizzazione
  • Sviluppo di dashboard di controllo centralizzate che consentano di monitorare in tempo reale lo stato di conservazione dei dati e di intervenire tempestivamente in caso di anomalie
  • Implementazione di programmi formativi specifici per il personale coinvolto nella gestione dei dati, finalizzati a diffondere una cultura della protezione delle informazioni
  • Conduzione di audit periodici sulla conformità delle pratiche di conservazione, con particolare attenzione all'identificazione di eventuali data silos non censiti

Uno studio condotto da Capgemini nel 2023 su un campione di 300 aziende europee ha evidenziato come le organizzazioni che adottano approcci strategici alla conservazione dei dati, integrati nei processi di business e supportati dal top management, registrino un tasso di non conformità inferiore del 68% rispetto alle aziende che applicano un approccio meramente reattivo.

Particolarmente significativo risulta l'impatto economico delle politiche di conservazione ottimizzate: secondo un'analisi di Deloitte del 2022, l'implementazione di sistemi strutturati di data retention management consente una riduzione media dei costi di storage del 42% e una diminuzione dei tempi di risposta alle richieste degli interessati del 57%, configurandosi come investimento con significativo ritorno economico oltre che come adempimento normativo.

Le strategie di lungo periodo più efficaci si caratterizzano per:

  1. Integrazione delle politiche di conservazione nel più ampio contesto della governance dei dati aziendali
  2. Allineamento degli obiettivi di compliance con le strategie di business e di sicurezza informatica
  3. Approccio risk-based alla definizione dei periodi di conservazione, con particolare attenzione ai dati a maggior rischio
  4. Automazione dei processi di gestione del ciclo di vita dei dati, dalla raccolta alla cancellazione
  5. Monitoraggio continuo dell'evoluzione normativa e degli orientamenti delle Autorità di controllo

Bibliografia

  • Buttarelli G., "GDPR: il nuovo regolamento europeo sulla privacy", Giuffrè Editore, 2023
  • Finocchiaro G., "La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101", Zanichelli, 2021
  • Riccio G.M., Scorza G., Belisario E., "GDPR e Normativa Privacy: Commentario", IPSOA, 2022
  • Panetta R., "Circolazione e protezione dei dati personali, tra libertà e regole del mercato", Giuffrè Editore, 2021
  • Comellini S., "Il Regolamento europeo sulla protezione dei dati: guida pratica", Maggioli Editore, 2022
  • Faccioli E., Cassano G., "Il GDPR e la normativa privacy nelle aziende", Ipsoa, 2023

FAQ

Quali sono le sanzioni previste per la conservazione illecita dei dati personali?

La conservazione di dati personali oltre i termini consentiti o in assenza di adeguate misure di sicurezza costituisce una violazione del GDPR che può comportare l'applicazione di significative sanzioni amministrative pecuniarie. L'articolo 83 del Regolamento prevede, per le violazioni relative ai principi di base del trattamento, incluso il principio di limitazione della conservazione, sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo, se superiore. L'entità della sanzione viene determinata dall'Autorità di controllo considerando diversi fattori, tra cui la natura, la gravità e la durata della violazione, il carattere doloso o colposo, le misure adottate per attenuare il danno, i precedenti dell'organizzazione e il grado di cooperazione con l'Autorità.

L'analisi delle sanzioni irrogate dalle Autorità europee evidenzia particolare severità nei casi di conservazione illecita sistematica o di assenza totale di politiche di retention. A titolo esemplificativo, nel 2022 l'Autorità spagnola ha sanzionato una società di telecomunicazioni con una multa di 6 milioni di euro per aver conservato dati di traffico telefonico oltre i termini consentiti dalla normativa settoriale, mentre l'Autorità francese ha comminato una sanzione di 3,5 milioni di euro a un'azienda di e-commerce per la conservazione indefinita dei dati di clienti inattivi. Oltre alle sanzioni amministrative, la conservazione illecita può comportare responsabilità civile nei confronti degli interessati, con obbligo di risarcimento dei danni materiali e immateriali causati dalla violazione, nonché significativi danni reputazionali per l'azienda.

Come gestire la conservazione dei dati nei sistemi di backup e disaster recovery?

La gestione dei dati personali nei sistemi di backup e disaster recovery rappresenta una delle sfide più complesse nell'implementazione delle politiche di conservazione, in quanto si configura potenzialmente come eccezione al principio di limitazione della conservazione. I backup, infatti, per loro natura tendono a preservare istantanee complete dei sistemi informativi, includendo anche dati che potrebbero essere stati cancellati dai sistemi di produzione in ottemperanza alle politiche di retention.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha fornito alcune indicazioni in merito, chiarendo che i titolari possono conservare dati personali nei sistemi di backup anche oltre i termini previsti per i sistemi primari, a condizione che tale conservazione sia limitata nel tempo, proporzionata rispetto alle finalità di business continuity e accompagnata da adeguate misure di sicurezza. In particolare, si raccomanda di:

  1. Definire politiche di rotazione dei backup che prevedano la sovrascrittura o cancellazione dopo periodi ragionevoli (generalmente non superiori a 12 mesi)
  2. Implementare meccanismi di cifratura dei backup con gestione sicura delle chiavi di decifratura
  3. Predisporre procedure specifiche per gestire le richieste di cancellazione che interessano dati presenti nei backup
  4. Documentare nel registro dei trattamenti la specifica finalità di conservazione nei sistemi di backup e le relative tempistiche
  5. Informare gli interessati della possibile presenza temporanea dei loro dati nei sistemi di backup anche dopo la cancellazione dai sistemi primari

Una soluzione tecnica emergente consiste nell'implementazione di sistemi di "backup selettivo", che consentono di escludere specifiche categorie di dati o di applicare politiche di retention differenziate all'interno dello stesso backup, rendendo tecnicamente possibile rispettare gli obblighi di cancellazione senza compromettere l'integrità dei sistemi di ripristino.

Come si applica il principio di limitazione della conservazione ai dati relativi ai minori?

La gestione dei dati personali relativi ai minori richiede particolare attenzione in relazione alla determinazione dei periodi di conservazione, in considerazione della specifica vulnerabilità di questa categoria di interessati e della protezione rafforzata loro accordata dal GDPR. L'articolo 8 del Regolamento stabilisce condizioni specifiche per il consenso dei minori in relazione ai servizi della società dell'informazione, ma non fornisce indicazioni esplicite sui periodi di conservazione.

Tuttavia, il principio generale di protezione rafforzata dei minori, richiamato dal considerando 38, impone ai titolari del trattamento di adottare un approccio particolarmente prudente nella definizione delle politiche di retention relative a questi dati. In particolare, si raccomanda di:

  1. Stabilire periodi di conservazione più brevi rispetto a quelli ordinariamente applicati per i dati degli adulti
  2. Implementare procedure di revisione più frequenti per verificare la persistenza delle finalità di trattamento
  3. Prevedere meccanismi di cancellazione automatica al raggiungimento della maggiore età, salvo specifiche esigenze documentate
  4. Applicare tecniche di pseudonimizzazione o anonimizzazione in tutti i casi in cui l'identificazione diretta non sia strettamente necessaria
  5. Documentare dettagliatamente nella valutazione d'impatto le considerazioni relative ai periodi di conservazione dei dati dei minori

Le Autorità di controllo europee hanno adottato un approccio particolarmente rigoroso nei confronti delle violazioni relative alla conservazione dei dati dei minori. A titolo esemplificativo, nel 2023 l'Autorità irlandese ha comminato una sanzione di 405 milioni di euro a una nota piattaforma social per violazioni che includevano la conservazione indefinita di dati relativi a profili di minori, anche dopo la disattivazione degli account.

Quali differenze esistono tra anonimizzazione e pseudonimizzazione in relazione alla conservazione dei dati?

Anonimizzazione e pseudonimizzazione rappresentano due tecniche distinte per la protezione dei dati personali, con implicazioni significativamente diverse in relazione ai periodi di conservazione consentiti. Il GDPR definisce chiaramente queste due nozioni:

La pseudonimizzazione consiste nel "trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile" (art. 4, par. 5).

L'anonimizzazione, sebbene non esplicitamente definita nel Regolamento, viene descritta nel considerando 26 come processo che rende impossibile l'identificazione dell'interessato. I dati anonimizzati non sono più considerati "dati personali" e, pertanto, non sono soggetti alle disposizioni del GDPR, incluse quelle relative alla limitazione della conservazione.

La differenza fondamentale tra le due tecniche, in relazione alla conservazione, consiste nel fatto che:

  1. I dati pseudonimizzati rimangono soggetti al principio di limitazione della conservazione, sebbene il GDPR riconosca nella pseudonimizzazione una misura tecnica che può giustificare periodi di conservazione più estesi, in quanto riduce i rischi per gli interessati
  2. I dati adeguatamente anonimizzati, non rientrando più nell'ambito di applicazione del Regolamento, possono essere conservati indefinitamente

È fondamentale sottolineare che l'anonimizzazione, per essere considerata tale, deve rendere impossibile la re-identificazione dell'interessato, anche mediante l'utilizzo di tecnologie future o attraverso la combinazione con altre fonti di dati. L'Autorità Garante italiana, nelle Linee Guida in materia di anonimizzazione pubblicate nel 2022, ha chiarito che l'anonimizzazione è un processo dinamico, che richiede valutazioni periodiche alla luce dell'evoluzione tecnologica e

che l'anonimizzazione è un processo dinamico, che richiede valutazioni periodiche alla luce dell'evoluzione tecnologica e della disponibilità di nuove fonti di dati che potrebbero facilitare la re-identificazione.

In ambito aziendale, la scelta tra pseudonimizzazione e anonimizzazione deve basarsi su un'attenta valutazione delle finalità di conservazione: quando i dati devono essere mantenuti per scopi statistici o di ricerca storica, l'anonimizzazione rappresenta generalmente la soluzione preferibile, mentre la pseudonimizzazione risulta più appropriata quando potrebbe essere necessario, in futuro, ricondurre i dati all'identità originaria, ad esempio per finalità di sicurezza o di tutela legale.

Quali sono le specifiche problematiche di conservazione dei dati nei contesti cloud e multi-giurisdizionali?

La conservazione dei dati personali in ambienti cloud e in contesti multi-giurisdizionali presenta specifiche criticità, legate alla potenziale delocalizzazione fisica delle informazioni e alla sovrapposizione di normative diverse in materia di data retention. Le aziende che utilizzano servizi cloud per l'archiviazione dei dati devono considerare molteplici aspetti:

La localizzazione fisica dei dati può influenzare i periodi di conservazione applicabili, in quanto alcune giurisdizioni impongono specifici obblighi di retention per determinate categorie di informazioni. Ad esempio, la normativa statunitense prevede periodi di conservazione specifici per i dati finanziari e sanitari, potenzialmente diversi da quelli europei. È quindi essenziale che il titolare del trattamento mantenga il controllo sulla localizzazione dei dati e si assicuri che i periodi di conservazione rispettino sia la normativa GDPR che eventuali disposizioni locali applicabili.

I trasferimenti internazionali di dati, a seguito della sentenza "Schrems II" della Corte di Giustizia dell'Unione Europea, richiedono valutazioni approfondite sulla legislazione del paese di destinazione, con particolare riferimento alle normative che consentono l'accesso governativo ai dati personali. Tali valutazioni devono considerare anche le disposizioni relative ai periodi di retention, verificando che le autorità del paese terzo non possano imporre periodi di conservazione incompatibili con i principi del GDPR.

La gestione della cancellazione dei dati in ambienti cloud richiede particolare attenzione, in quanto i contratti standard dei cloud provider spesso non garantiscono la cancellazione fisica immediata delle informazioni dai sistemi di storage. È fondamentale negoziare clausole contrattuali specifiche che impongano al fornitore di servizi cloud:

  1. L'implementazione di meccanismi tecnici per garantire la cancellazione effettiva e verificabile dei dati al termine del periodo di conservazione
  2. La conferma documentata dell'avvenuta cancellazione, inclusi eventuali backup e sistemi ridondanti
  3. L'impegno a rispettare le istruzioni del titolare in merito ai periodi di conservazione differenziati
  4. La garanzia che i dati non saranno conservati più a lungo per finalità proprie del provider
  5. La comunicazione tempestiva di eventuali richieste di accesso da parte di autorità governative

Secondo uno studio condotto dall'European Cloud Alliance nel 2023, il 63% delle aziende europee che utilizzano servizi cloud per l'archiviazione di dati personali non ha implementato procedure specifiche per verificare l'effettiva cancellazione delle informazioni al termine del periodo di conservazione, esponendosi a potenziali violazioni del principio di limitazione della conservazione.

Come influiscono i periodi di conservazione sul calcolo del rischio nel contesto della valutazione d'impatto sulla protezione dei dati?

I periodi di conservazione rappresentano un fattore determinante nella valutazione del livello di rischio associato a un trattamento di dati personali, influenzando significativamente l'esito della valutazione d'impatto sulla protezione dei dati (DPIA) prevista dall'articolo 35 del GDPR. La durata della conservazione, infatti, incide direttamente sulla probabilità e sulla gravità dei potenziali impatti sui diritti e le libertà delle persone fisiche, secondo una correlazione generalmente positiva: periodi di conservazione più estesi tendono ad aumentare il livello di rischio complessivo.

Questo principio si fonda su diverse considerazioni:

La conservazione prolungata aumenta la "superficie di attacco" esposta a potenziali violazioni di sicurezza, incrementando statisticamente le probabilità di data breach o accessi non autorizzati nel corso del tempo. Secondo uno studio condotto dal Ponemon Institute nel 2022, il rischio di violazione dei dati aumenta in media del 3,5% per ogni anno aggiuntivo di conservazione.

L'accumulo di dati storici può facilitare la profilazione degli interessati e l'estrazione di informazioni inferenziali non originariamente presenti nel dataset, potenzialmente aggravando l'impatto sui diritti alla riservatezza e all'autodeterminazione informativa.

La conservazione prolungata incrementa il rischio di obsolescenza e inaccuratezza delle informazioni, con potenziali effetti discriminatori o pregiudizievoli per gli interessati quando tali dati sono utilizzati per processi decisionali.

L'aumento del volume di dati conservati può complicare la gestione delle richieste di accesso, rettifica o cancellazione da parte degli interessati, potenzialmente compromettendo l'effettivo esercizio dei diritti previsti dal Regolamento.

Nella metodologia di valutazione del rischio proposta dall'Autorità Garante italiana nelle Linee Guida sulla DPIA del 2022, il fattore "durata della conservazione" è esplicitamente incluso tra gli elementi da considerare nella determinazione del livello di gravità del potenziale impatto, con una scala di valutazione che attribuisce punteggi crescenti in funzione dell'estensione temporale della retention (basso per conservazioni inferiori a 6 mesi, medio per periodi fino a 2 anni, alto per conservazioni superiori).

Particolare rilevanza assume l'interazione tra periodi di conservazione e categorie di dati trattati: la combinazione di conservazione prolungata con dati particolari (art. 9 GDPR) o relativi a condanne penali (art. 10 GDPR) determina generalmente un livello di rischio intrinseco elevato, tale da richiedere l'implementazione di misure di mitigazione particolarmente robuste.

La corretta gestione di questa interrelazione richiede un approccio dinamico alla valutazione del rischio, con revisioni periodiche che considerino l'evoluzione delle finalità di trattamento e l'eventuale necessità di rimodulare i periodi di conservazione in funzione del mutamento del contesto operativo o normativo.

La protezione dei dati personali nel contesto aziendale rappresenta una sfida complessa e in continua evoluzione, che richiede un approccio integrato e consapevole alle politiche di conservazione. La corretta implementazione dei principi del GDPR in materia di retention non si limita infatti a un mero adempimento normativo, ma si configura come elemento strategico di governance aziendale, in grado di coniugare compliance, efficienza operativa e tutela del patrimonio informativo dell'organizzazione.

L'esperienza maturata nei primi anni di applicazione del Regolamento ha evidenziato come le aziende che adottano un approccio proattivo e strutturato alla gestione del ciclo di vita dei dati, implementando sistemi integrati di data management fondati sui principi di privacy by design e privacy by default, non solo minimizzano i rischi sanzionatori e reputazionali, ma ottengono significativi benefici in termini di ottimizzazione delle risorse IT, miglioramento della qualità dei dati e rafforzamento della fiducia degli interessati.

Le prospettive future appaiono caratterizzate da una progressiva convergenza tra protezione dei dati, sicurezza informatica e governance aziendale, con l'emergere di modelli organizzativi che collocano la gestione responsabile delle informazioni al centro della strategia di business. In tale contesto, l'investimento in formazione specialistica, tecnologie avanzate e processi organizzativi strutturati rappresenta una scelta non più procrastinabile per le aziende che intendono mantenere un vantaggio competitivo in un mercato sempre più caratterizzato dalla centralità del dato come asset strategico.

Vi invitiamo ad approfondire ulteriormente questo tema cruciale, consultando le fonti bibliografiche suggerite e le linee guida pubblicate dalle Autorità di controllo, per sviluppare un approccio personalizzato alla conservazione dei dati che risponda alle specifiche esigenze della vostra organizzazione, nel pieno rispetto dei diritti e delle libertà fondamentali degli interessati.

Categoria: Diritto

Autore: Avvocato Giacomo Locopo

Immagine di Giacomo Locopo

Nato a Catania il 25 febbraio 1970, l'avvocato ha conseguito la laurea in Giurisprudenza presso l'illustre Università degli Studi La Sapienza di Roma. Attualmente, è iscritto all'Albo dell'Ordine degli Avvocati nella città di Palmi, dove esercita la professione legale con competenza e dedizione.

I più condivisi

Il pignoramento esattoriale, in cosa consiste?

Il Pignoramento esattoriale si esegue nel caso non venga pagata una cartella esattoriale entro il sessantesimo giorno dalla sua notifica. Esso viene eseguito dall'agente adibito alla riscossione, il quale è responsabile della messa in atto di tutte..

Differenze tra raccomandata, posta assicurata e posta prioritaria: quale scegliere?

Negli ultimi anni l’attenzione verso i servizi postali è cresciuta notevolmente, spinta dall’aumento dello scambio di documenti importanti e dalla progressiva digitalizzazione

Notifica a mezzo raccomandata: validità legale e implicazioni

La notifica a mezzo raccomandata rappresenta uno degli strumenti più tradizionali, ma al contempo fondamentali, del diritto civile e amministrativo italiano.

Articoli correlati