Le cycle de vie des données à caractère personnel

Il ciclo di vita dei dati personali

Osservatorio Legale n. 41 – Novembre 2021

Il ciclo di vita dei dati personaliTra gli obblighi previsti dal GDPR, ce n’è uno che può rapidamente trasformarsi in un grattacapo per il titolare del trattamento, nonostante la sua natura apparentemente innocua: si tratta dell’obbligo di periodo di conservazione dei dati personali.

A priori, sembra naturale conservare i dati solo per il tempo necessario alle finalità perseguite, come previsto dall'articolo 5.1.e del GDPR.

Nella pratica, sorgono molte domande: le informazioni devono essere cancellate? O conservate a fini probatori? O in conformità con le disposizioni di legge? Cosa succede se gli stessi dati sono necessari in due contesti distinti?

La durata di conservazione è uno degli aspetti a cui la CNIL presta particolare attenzione durante i suoi controlli, come testimonia la sua deliberazione del 29 ottobre riguardante i fascicoli RATP.

L'azienda è stata multata di 400.000 euro per aver violato i principi di finalità, periodo di conservazione e sicurezza dei dati. 

Nell'ambito della gestione delle risorse umane, la RATP ha conservato i dati relativi agli agenti nel database attivo di un'applicazione troppo ampiamente accessibile e per un periodo di tempo superiore a quello necessario per le finalità perseguite.  

La CNIL ha inoltre osservato che la RATP ha conservato i fascicoli di valutazione del personale per più di 3 anni dopo la commissione di promozione per la quale erano stati istituiti, mentre la loro conservazione era necessaria solo per 18 mesi dopo la costituzione di tali commissioni.

In un contesto diverso, la CNIL aveva già appuntito a novembre 2020 la durata della conservazione da parte della società Carrefour dei dati dei propri clienti.

Ritiene che un periodo di conservazione di quattro anni sia eccessivo e raccomanda di conservare i dati dei clienti "inattivi" (che non hanno più rapporti commerciali con l'azienda) per un massimo di tre anni (vedere questa newsletter, dicembre 2020).

I seguenti passaggi guideranno il titolare del trattamento dei dati nella determinazione dei periodi di conservazione:

  • Archiviazione dei dati in un database attivo, accessibile alle persone del reparto competente, ad esempio le risorse umane, per tutto il tempo in cui i dati sono necessari (ad esempio, pagamento degli stipendi)
  • Cancellazione o archiviazione intermedia dei dati a fini probatori o di eventuale contenzioso, con accessibilità limitata e più sicura, previa autorizzazione speciale
  • Cancellazione o archiviazione permanente in condizioni di accesso ancora più limitate.

In ogni fase è necessario effettuare una selezione e alcuni dati potrebbero essere cancellati o resi anonimi se non sono utili o non sono richiesti dalla legge.

Quando gli stessi dati vengono utilizzati per due scopi diversi, è necessario applicare loro un periodo di conservazione separato a seconda dei rispettivi scopi, nonché regole di accesso e cancellazione appropriate.

La CNIL fornisce in un guida pratica ha pubblicato delle raccomandazioni nel luglio 2020 ed elenca nei suoi documenti di riferimento alcuni periodi di conservazione previsti dalla legge.

Alcuni esempi:

Nell'ambito delle risorse umane, i dati dei candidati per un massimo di due anni, le buste paga per un minimo di cinque anni (in applicazione dell'articolo L. 3243-4 del codice del lavoro)

In ambito commerciale, i dati di fatturazione per un periodo di dieci anni (obbligo previsto dal Codice del Commercio)

Nell'ambito della protezione video, le immagini hanno una durata massima di un mese (articolo L. 252-3 del codice di sicurezza interno).

Va aggiunto che una gestione rigorosa dell'elaborazione dei dati, l'eliminazione dei dati non necessari e la limitazione dell'accesso ai dati internamente contribuiscono alla sicurezza dei database.

Questi passaggi svolgeranno un ruolo preventivo nei confronti degli attacchi esterni e del rischio di violazioni dei dati, che oggi rappresentano rischi significativi.

E anche

Francia:

Il 30 novembre la CNIL ha pubblicato una nuova deliberazione concernenti le misure per contrastare la pandemia di Covid-19.

Si richiama l'attenzione del governo sulla necessità, a più di 18 mesi dall'inizio dell'epidemia, di produrre elementi che consentano una valutazione completa dell'efficacia dei dossier e dei sistemi implementati, tra cui il passaporto sanitario, il dossier "vaccini" e l'app "TousAntiCovid".

L'autorità di controllo ha avviato una quinta fase di controlli, che riguarda in particolare il periodo di conservazione, la cancellazione e/o l'anonimizzazione dei dati.

Europa:

Le autorità di vigilanza dell’Unione Europea hanno avviato un’azione indagine congiunta in merito alla conformità al GDPR da parte della piattaforma di vendita di articoli di seconda mano Vinted.

IL Garante europeo della protezione dei dati (GEPD) annuncia un conferenza il 16 e 17 giugno sul tema della protezione dei dati: “controlli efficaci nel mondo digitale”, che riunisce relatori sui temi dell’intelligenza artificiale, del diritto della concorrenza e dei mercati e servizi digitali.

Questa conferenza è organizzata nel contesto dei dibattiti sulla necessità di centralizzare i controlli di attuazione del GDPR a livello europeo.

Ci riferiamo più precisamente al recensioni pubblicato il 2 dicembre dalla Vicepresidente della Commissione Europea, Vera Jourova, sull'(in)efficacia dei controlli in paesi come Irlanda.

Il 21 ottobre, sette relatori speciali delle Nazioni Unite hanno denunciato in un Comunicazione la politica europea di lotta al terrorismo che, attraverso misure troppo vaghe, violerebbe i principi di legalità, necessità e proporzionalità sanciti dagli strumenti europei e internazionali per la tutela dei diritti fondamentali. 

IL Comitato europeo per la protezione dei dati (EDPB)) adottato il 18 novembre linee guida specificando l'ambito di applicazione delle norme relative ai trasferimenti internazionali di dati.

Ricorda, tra l'altro, che queste norme si applicano ai trasferimenti tra titolari del trattamento (o subappaltatori) quando l'esportatore è soggetto al GDPR e trasmette o rende i dati accessibili all'importatore situato in un paese terzo.

Queste regole sul trasferimento non si applicano quando i dati vengono trasmessi da un individuo in Europa di propria iniziativa. Il documento è aperto alla consultazione pubblica fino alla fine di gennaio.

Il Comitato ha inoltre ribadito le sue preoccupazioni in un comunicato stampa in merito alle proposte della Commissione europea sulla governance dei dati, sui servizi digitali e sui mercati digitali, nonché sulla regolamentazione dell'intelligenza artificiale.

Sottolinea l'insufficiente tutela dei diritti fondamentali e la frammentazione della supervisione, e chiede il divieto dell'uso dell'intelligenza artificiale negli spazi pubblici, della profilazione dei minori e della pubblicità mirata basata sul tracciamento sistematico degli individui.

Questo riecheggia la chiamata della nuova coalizione di governo tedesca il 24 novembre per vietare la sorveglianza biometrica nei luoghi pubblici.

La Commissione europea ha avviato un procedura di infrazione contro il Belgio per mancanza di indipendenza della sua autorità di protezione dei dati.

Il Belgio ha due mesi di tempo per reagire, altrimenti dovrà affrontare un'azione legale dinanzi alla Corte di giustizia europea.

Il Comitato dei Ministri del Consiglio d'Europa adottato il 3 novembre Raccomandazione relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nell'ambito della profilazione.

Questo nuovo testo aggiorna la precedente raccomandazione CM/Rec(2010)13 sullo stesso argomento.

L'azienda Vista chiara, specializzata nella raccolta di dati biometrici, è nel mirino dell'autorità di vigilanza britannica.  

L'ICO sta valutando di infliggere una multa di 17 milioni di sterline all'azienda per aver raccolto dati dai cittadini britannici senza che questi ne fossero a conoscenza.

L'ICO indagine inoltre sulle pratiche della società Cignpost Diagnostics che prevede di commercializzare le informazioni genetiche ottenute dai suoi clienti durante i test PCR per lo screening del virus COVID. 

Internazionale:

IL Emirati Arabi Uniti adottato il 28 novembre legge federale sulla protezione dei dati. I titolari del trattamento avranno 12 mesi di tempo per garantire la conformità a partire dalla data di pubblicazione della legge nella Gazzetta Ufficiale.

Il 24 novembre 193 paesi hanno adottato la raccomandazione ONU sull'etica dell'intelligenza artificiale, che prevede il divieto del social scoring e dell'uso dell'intelligenza artificiale a fini di sorveglianza globale.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT