Indice dei contenuti
Alcune delle innovazioni più importanti introdotte dal GDPR sono legate all’esplicitazione del concetto di “Data Retention”, da intendersi come periodo di conservazione dei dati personali.
Tuttavia, in ossequio al principio di accountability, il GDPR non introduce vincoli specifici in relazione ai tempi di conservazione, bensì si limita a stabilire il principio e a indicare le forme con le quali le relative informazioni possono essere comunicate all’interessato.
Vediamo di identificare i principali punti di riferimento.
Definizione di “data retention”
La “data retention” consiste nel periodo di conservazione dei dati personali – che il Titolare del trattamento determina in ottemperanza al principio di minimizzazione – necessario per raggiungere le finalità connesse ad un determinato trattamento.
Pertanto, dando per scontato che il dato personale sia stato acquisito lecitamente e che le finalità del trattamento siano altrettanto lecite, bisogna in questo caso stabilire l’intervallo temporale all’interno del quale il trattamento di tale dato possa essere opportunamente motivato.
I principali punti di riferimento a proposito della conservazione dei dati dei dipendenti sono costituiti:
- Dall’art. 5 GDPR il quale introduce il concetto di “scadenza” della finalità del trattamento;
- Dall’art. 13 GDPR il quale prevede che nell’informativa debbano essere riportati il tempo di conservazione o i criteri per la definizione dello stesso.
Pertanto, è lo stesso legislatore ad introdurre un certo margine di flessibilità, potendo – il Titolare del trattamento – indicare un termine fisso (es. 10 anni) o criteri per il calcolo di tale termine (es. i termini di prescrizione legale o – nel caso delle strutture sanitarie – l’assenza di termini di conservazione della cartella clinica).
A tali criteri, potrebbero affiancarsi quelli previsti da Provvedimenti del Garante Privacy su temi specifici (es. videosorveglianza, marketing e profilazione del consumatore).
Data Retention e dipendenti: quali dati vengono conservati e perché
In tale contesto, in relazione al trattamento dei dati del personale, è possibile definire quanto segue:
- Esiste sicuramente un interesse del Titolare del trattamento a conservare i dati del personale per finalità connesse alla gestione del rapporto di lavoro fino all’interruzione del rapporto stesso;
- Anche successivamente all’interruzione del rapporto, il Titolare del trattamento ha interesse a conservare tali dati a tutela dei propri diritti (ad esempio, in sede giudiziaria), il tutto fino a quando non siano scaduti eventuali termini di prescrizione o non siano stati definiti eventuali contenziosi.
Diverso è il discorso in relazione a tutti quei dati personali che possono essere trattati in relazione alla prestazione dell’attività lavorativa (es. produttività, risorse utilizzate, attività svolte, email), per i quali deve essere valutata l’attualità e anche e soprattutto se le finalità possano essere raggiunge anche tramite l’utilizzo di dati anonimizzati o aggregati, cosa che dovrebbe portare alla cancellazione del nesso tra lavoratore e attività.
Violazione del data retention: cosa rischia l’azienda
Detto quanto sopra, naturalmente il tema va declinato secondo due parametri che costituiscono la base del principio di accountability:
- Devo dimostrare di avere correttamente valutato le esigenze di conservazione e coerentemente definito tempi e criteri
- Devo dimostrare di avere implementato adeguate misure volte a monitorare tali tempi e criteri, implementando anche procedure e sistemi di alert in grado di consentire al Titolare del trattamento il rispetto di quanto egli stesso ha stabilito.
Tali misure sono strettamente collegate alle modalità con le quali i dati sono conservati e quindi è necessario che gli applicativi eventualmente utilizzati permettano di gestire nativamente i relativi parametri.
Alla violazione di questi due parametri del data retention (oltre che ai relativi oneri informativi nei confronti dell’interessato), può conseguire la contestazione da parte del Garante Privacy e delle autorità competenti (ad esempio anche forze dell’ordine e UTL nel caso di videosorveglianza e altri potenziali strumenti di controllo a distanza).
