Il nuovo piano ispettivo del Garante conferma che nelle attività di controllo si andrà a verificare il rispetto dei tempi di conservazione dei dati personali raccolti e trattati dalle organizzazioni. Come già avviene in altri Paesi dell’Unione Europea, la violazione del principio di limitazione della conservazione, in forza del quale i dati devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;” (art. 5.1 lett. e) GDPR), espone alle conseguenze sanzionatorie più elevate ai sensi dell’art. 83.5 GDPR: fino a 20 milioni di euro, o il 4% del fatturato mondiale annuo del precedente esercizio.
A livello operativo, è necessario dunque che le organizzazioni siano in grado di gestire il ciclo di vita del dato andando innanzitutto a definire i termini massimi di data retention (da inserire nei registri delle attività di trattamento, nelle informative e, se del caso, negli accordi ai sensi dell’art. 28 GDPR). Tali termini possono derivare da obblighi legali, per cui va individuata la fonte (ad es. l’art. 2220 c.c. per la conservazione delle scritture contabili), o dal legittimo interesse del titolare, per cui va svolto un assessment specifico.
Una volta svolto tale censimento della “scadenza” del dato, e accertato che il termine di conservazione fa riferimento ad una base giuridica valida, è necessaria però una traduzione operativa individuando dei presidi che possano garantire tale adempimento. Ad esempio, con una procedura o un prontuario di scarto documentale, attraverso cui poter istruire gli operatori circa le politiche di conservazione dei dati personali e, soprattutto, procedere all’eliminazione coerentemente con le scadenze dei termini indicati.
È bene notare che relativamente ad un profilo di sicurezza delle informazioni, anche la distruzione del dato o la sua anonimizzazione deve essere gestita in modo tale che sia impossibile una reidentificazione degli interessati o il recupero di informazioni (o stralci delle stesse). In tal senso bisogna dunque porre particolare attenzione tanto allo scarto di documenti cartacei, rendendoli di fatto illeggibili o non ricostruibili, così come dei dati da supporti digitali, rendendoli non recuperabili. Anche anche la distruzione dei supporti digitali deve essere svolta tenendo conto dei rischi di reimpiego degli stessi al fine di estrarre informazioni.
In forza del principio cardine di responsabilizzazione, si ricorda, l’individuazione e la messa in opera delle misure tecniche e organizzative sono di competenza del titolare del trattamento, il quale è chiamato a gestire e comprovare tutti i propri adempimenti alla normativa applicabile in materia di protezione dei dati personali.
