Che la pratica del criterio del copiare e incollare in tutte le informative il medesimo criterio di conservazione fosse scorretto lo sapevamo in fondo tutti, ma la comodità di una simile scorciatoia era ed è troppo ghiotta per poterla abbandonare. Avevamo forse bisogno di un colpo secco, di una sveglia che ci riportasse alla realtà, che ci facesse riprendere in mano il GDPR per affermare che quei criteri generici sono uno schiaffo al principio di accountability. Ecco allora arrivare da parte del Garante per la privacy due provvedimenti esemplari, nei confronti di due aziende che si occupano di consegne a domicilio: Foodinho e Deliveroo che riportano all’attenzione il tema della data retention.
Indice degli argomenti
I due provvedimenti del Garante per la privacy
Foodinho
Provvedimento n. 234 del 10 giugno 2021 nei confronti di Foodinho S.r.l., una società controllata da Glovo e che si occupa di delivery. Dunque, controlla un parco di rider considerevole i cui dati, tanti, sono trattati per le più svariate finalità: dal pagamento del compenso alla geolocalizzazione, all’algoritmo che assegna la consegna a eventuali reclami. Dati consegnati direttamente dall’interessato o generati da altri sistemi ma tutti con un’unica matrice: si tratta di dati personali riferiti ai rider. Il Garante ha sanzionato per 2,6 milioni di euro Foodinho per una serie di inadempienze e incongruenze, ma un aspetto risulta importante per la questione data retention.
Una delle violazioni contestate è proprio relativa all’articolo 13, par. 2, lett a) del regolamento: i tempi di conservazione. L’informativa consegnata dal titolare agli interessati riportava la dicitura: “i dati sono trattati per il solo tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti e, in ogni caso, no oltre la cessazione del rapporto di collaborazione”. Le contestazioni mosse dal Garante sono due. La prima è che l’informativa fornisce un’indicazione troppo generica. Seconda contestazione è che l’indicazione presente nell’informativa, secondo cui i dati sarebbero stati cancellati alla cessazione del rapporto di collaborazione, non è risultata esatta. Durante il controllo il Garante ha accertato che i dati venivano conservati anche successivamente al termine della collaborazione con il rider. Dunque, oltre al criterio generico, il titolare ha indicato un tempo preciso di conservazione tuttavia non rispettandolo. Due grandi bocciature in questo provvedimento: ai criteri generici e alla mancanza di una strutturata procedura finalizzata alla reale cancellazione dei dati trascorso il termine indicato in informativa e chiaramente sul registro dei trattamenti.
Deliveroo
Secondo provvedimento che sancisce definitivamente questa impostazione è quello del 22 luglio 2021, n. 285, emanato nei confronti di Deliveroo Italy S.r.l.
Come Foodinho anche qui sono trattati tanti dati di rider per perseguire diverse e variegate finalità. Anche qui il Garante ha comminato una sanzione importante, 2,5 milioni di euro, per diverse violazioni del regolamento europeo. Un punto del provvedimento è esplicativo per quanto riguarda la data retention: l’informativa consegnata da Deliveroo Italy S.r.l. ai propri collaboratori riporta una formula estremamente generica che non consente, secondo il Garante, di comprendere quale sia il tempo di conservazione previsto: “non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”. La formula non permette dunque, come imporrebbe il principiò di trasparenza, agli interessati di capire la reale tempistica di conservazione dei loro dati essendo appunto formulata in maniera troppo generica.
Come leggere i due provvedimenti
Le due violazioni del Garante, simili tra loro per destinatario e violazioni, fanno emergere una lettura chiara e inequivocabile dell’Autorità sul principio di limitazione della conservazione introdotto dal Regolamento Europeo: tale principio non può essere raggirato con vaghe enunciazioni tautologiche.
Ecco la sveglia che stavamo forse aspettando o che forse speravamo non suonasse mai. Tutti i trattamenti di dati personali devono essere accompagnati da un periodo di conservazione chiaro, definito, preciso che dovrà essere riportato sul registro dei trattamenti e, per assolvere all’articolo 13, sulle informative. Laddove tale periodo non potrà essere individuato si potrà procedere riportando un criterio che non deve tuttavia essere generico ma il più preciso e chiaro possibile, deve cioè permettere all’interessato di capire con precisione quando il suo dato personale verrà cancellato o reso anonimo.
Finisce forse l’era delle frasette copiate e incollate su ogni informativa, inizia quella dell’attenta valutazione di ogni trattamento o processo che riguarda i dati personali. Analisi che dovrà portare alla definizione della data retention e, forse ancora più importante, alla strutturazione di una procedura che permetterà al titolare di cancellare o rendere anonimi, in maniera puntuale, i dati personali superato il loro “periodo di scadenza”.
Questo è il percorso da perseguire per avere una data retention conforme al GDPR, di determinare dunque una politica di conservazione che consente al titolare di raggiungere la piena compliance al Regolamento Europeo e superare senza problemi una eventuale ispezione del Garante.
Cos’è la data retention
La data retention, ossia il periodo di conservazione dei dati personali, è uno di quegli aspetti del trattamento probabilmente più spinoso e difficile da gestire e al contempo il più ignorato (o raggirato) dai titolari. Durante questi tre anni di piena efficacia del GDPR si è scelto molto spesso, forse troppo spesso, di aggirare il principio di limitazione del periodo di conservazione per facilitare le operazioni di gestione dei dati, per evitare di perdere il proprio database, per non “far sprecare tempo” (citazione di tanti titolari) ai propri dipendenti o collaboratori.
La data retention nel GDPR
L’articolo 5 “Principi applicabili al trattamento di dati personali” nella sua semplicità definisce chiaramente la data retention, o almeno definisce quali dovrebbero essere le condizioni per strutturare una politica conforme di conservazione dei dati: “i dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”. In poche parole, il principio di limitazione della conservazione.
Il principio di limitazione della conservazione nel GDPR
Tutto l’impianto normativo del regolamento europeo, compreso dunque il principio su menzionato, è permeato dall’accountability, dalla responsabilizzazione del titolare del trattamento. Non si limita a fornire un elenco di tempistiche di conservazione per tipologia di dato (o di trattamento) ma va oltre, scaricando sul titolare l’onere di determinare la propria data retention. Come determinarla, come stabilire la “data di scadenza” del dato superata la quale non dovrebbe più permettere l’identificazione dell’interessato è un terreno ostico e di difficile realizzazione. Non si improvvisa una data retention, non si determina aprioristicamente, ma si struttura a seguito di attenta valutazione. Che tipologia di dati sono raccolti e trattati, per quale finalità, in che quantità, per quanto tempo servono al titolare o per quanto tempo devono essere conservati per assolvere a specifici obblighi di legge sono solo alcune delle domande a cui occorre rispondere per determinare, con precisione, la conservazione di un determinato dato. Ogni trattamento, dunque, dovrà essere analizzato e valutato per determinare la giusta data retention. Ma non finisce qua, una volta fissata la “data di scadenza” occorre mettere in piedi delle procedure o delle prassi che permettano, in maniera efficace, di cancellare o anonimizzare quel dato.
Come è stato interpretato questo principio dai titolari
Nella stragrande maggioranza dei casi, il principio di limitazione della conservazione è stato interpretato come un lasciapassare: non essendo definito dal regolamento un chiaro tempo di conservazione, allora tutto può essere giustificato. È stato sufficiente leggere in maniera “flessibile” l’art. 13 del Reg. UE, relativo all’informativa: agli interessati il titolare deve comunicare il periodo di conservazione dei dati personali oppure i criteri utilizzare per determinare tale periodo. Tutto è ruotato interno al “criterio di conservazione”, passaggio che ha permesso alla creatività di prendere il sopravvento.
“Conserveremo i tuoi dati fino al perseguimento della finalità oggetto della raccolta”; “Conserveremo i dati per assolvere agli obblighi di legge e, successivamente, per un periodo determinato dal titolare” oppure “Non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”, sono alcune delle postille trovate nelle informative fornite all’interessato.
Conclusioni
Laddove, dunque, non sia possibile determinare con facilità un criterio di conservazione sarà sufficiente riportare un criterio generico. In questo modo qualsiasi tempistica di conservazione è giustificata e la data retention lasciata morire nell’articolo 5 del Regolamento europeo. Questo da un punto di vista formale, da quello sostanziale le cose si fanno anche più paradossali. “Indico 2 anni come tempo di conservazione dei CV ricevuti in azienda, tanto chi mi potrà mai controllare? Come farà l’interessato a verificare che dopo 5 anni quel CV lo conservo ancora?”. Questo è l’approccio di molti titolari del trattamento nei confronti della data retention.
@RIPRODUZIONE RISERVATA
