
Se mi lasci ti cancello
Se mi lasci ti cancello.
Secondo quanto previsto dall’ormai noto GDPR, i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Il titolare del trattamento deve, quindi, provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo. E non può conservarli per periodi ulteriori.
In cosa consiste il diritto di cancellazione?
Il titolare del trattamento è formalmente obbligato a prevedere apposite procedure per garantire la cancellazione dei dati.
La cancellazione potrà avvenire al raggiungimento delle finalità per cui il dato personale è stato trattato. Ma anche su richiesta dei soggetti interessati in esercizio del relativo diritto di cui all’articolo 17 del GDPR (il diritto alla cancellazione o “all’oblio”).
I soggetti interessati hanno, infatti, il diritto di chiedere che siano cancellati i propri dati personali non più necessari alle finalità per le quali sono stati raccolti.
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Questo diritto è particolarmente rilevante nel caso, ad esempio, in cui il consenso sia stato prestato da un soggetto minore – non pienamente consapevole dei rischi derivanti dal trattamento – che voglia poi eliminare i propri dati personali, in particolare da Internet.
Come si cancellano i dati?
Quando si parla di cancellazione si intende l’eliminazione di tutti i dati, sia in formato digitale che cartaceo, purché di natura personale. Quindi riferiti a una persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione. Compreso, ad esempio, un numero di identificazione personale, anche online.
Nel caso in cui la cancellazione sia conseguenza dell’esercizio del diritto – con riscontro all’interessato entro il termine di trenta giorni stabilito dalla normativa e secondo la procedura di gestione delle richieste degli interessati internamente adottata – il titolare deve provvedere fisicamente all’azione per la distruzione dei dati.
Diversamente, in tutti gli altri casi, il titolare deve predisporre un meccanismo di “autodistruzione” del dato divenuto superfluo.
I dati si devono obbligatoriamente cancellare al termine del periodo stabilito?
Il GDPR consente di conservare i dati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato. Cd. principio di “limitazione della conservazione”.
Il diritto di cancellazione non si applica quando il trattamento sia necessario per:
- l’esercizio del diritto alla libertà di espressione e di informazione
- l’adempimento di un obbligo di legge
- fini di archiviazione nell’interesse pubblico, di ricerca scientifica o storica o fini statistici
- l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
E se alcuni dati raccolti dal titolare sono conservati nei sistemi di soggetti terzi?
Le aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e di servizi cloud e di backup, in qualità di autonomi titolari o di responsabili del trattamento nominati dal titolare, devono essere coinvolti nel processo di cancellazione.
Salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.
E la posta elettronica aziendale?
Il Garante ha precisato che lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può essere perseguito con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi rispetto all’attività di sistematica ed estesa conservazione delle comunicazioni elettroniche.
Analoghe considerazioni sono state svolte con riferimento al trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio. Il Garante ha chiarito che deve trattarsi di contenziosi in atto o di situazioni precontenziose. Non, quindi, di astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.
Non è possibile conservare dati personali sulla scorta di un ipotetico giudizio.
Quali sono i tempi massimi di conservazione dei dati?
Nella prassi, la definizione dei tempi di conservazione dipende sempre dalla tipologia di dati e dalla finalità per cui gli stessi sono raccolti e trattati. E da come delineate nell’informativa fornita agli interessati.
Alla scadenza dei termini di volta in volta previsti dalle norme di legge o da policy aziendali, oppure a seguito di richieste di oblio da parte degli interessati, il titolare deve adottare idonee misure di distruzione o di anonimizzazione di qualsiasi copia, cartacea o digitale, dei dati coinvolti. Fermo restando che i dati potranno continuare a essere conservati e utilizzati in chiaro in altri settori aziendali che perseguano finalità per cui non è prevista la relativa cancellazione.
Quindi il titolare dovrà predisporre il flusso per la distruzione dei dati, che potrà avvenire in modalità automatica o, in alternativa, previa approvazione da parte di un referente interno quando individuato.
E dovrà, inoltre, assicurarsi che la cancellazione sia effettiva. Anche testando il modello prescelto, non soltanto in via preventiva, ma anche attraverso verifiche periodiche.
L’immediata azione di cancellazione nel caso di esito positivo della verifica effettuata risponde all’esigenza del titolare di non incorrere nelle sanzioni previste per illiceità del trattamento, conseguenti all’utilizzo dei dati raccolti per finalità ulteriori in assenza del consenso esplicito dell’interessato. O in assenza di una delle finalità ulteriori ammesse dal GDPR o l’omessa adozione delle misure di pseudonimizzazione e minimizzazione richieste.
Come noto le sanzioni amministrative previste per l’inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso e dei diritti degli interessati possono arrivare sino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Quindi attenzione a tutte le procedure adottate nel processo di adeguamento al GDPR.
Se vuoi approfondire gli argomenti trattati nel Post oppure vuoi risolvere una tua questione legale prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
Se mi lasci ti cancello #GDPR #Privacy #Internet #LexAroundMe Condividi il Tweet