di Antonio Serriello
I dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati. Diverse pronunce del Garante della Privacy, in considerazione di tale assunto, hanno considerato illecite le condotte di aziende e società che prolungavano nel tempo la conservazione dei dati personali di soggetti terzi senza una giustificabile necessità.
Scopri GoPrivacy: il Software per la gestione dei nuovi adempimenti del GDPR >>
Il rispetto della disciplina in materia di conservazione dei dati personali rappresenta un aspetto delicato della gestione aziendale, che può esporre il titolare a pesanti sanzioni pecuniarie in caso di trattamento illecito di dati personali.
Analizziamone i tratti salienti, prendendo spunto da una situazione affrontata dai nostri esperti legali, che riguarda il trattamento dei dati di chi, dopo un iniziale contatto con i rappresentanti commerciali di un’azienda, non ha poi, in concreto, effettuato l’acquisto del prodotto proposto.
Il problema
Tutti gli anni, una ditta specializzata nella vendita di software antivirus, presenta gli aggiornamenti dei prodotti ad una fiera nazionale, nel corso della quale – oltre a vendere i prodotti a prezzo scontato – raccoglie dati dei potenziali interessati. Per quanto tempo possono essere conservati questi dati senza incorrere in sanzioni? Soprattutto, esiste una differenza nel successivo trattamento dei dati di chi acquista il prodotto (e quindi sarà seguito per un determinato numero di anni fino al termine della garanzia offerta) e di chi non lo acquista? Per quanto tempo possono essere trattati, per scopi di telemarketing, i dati di chi non ha acquistato il prodotto?
Che cos’è un dato personale e in cosa consiste il suo trattamento
Per rispondere a tali quesiti, è opportuno riassumere brevemente i concetti cardine di questa materia, chiarendo innanzitutto cosa sia, tecnicamente, un “dato personale”. In base al Codice della Privacy, sono dati personali quelle informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, e così via.
La legge, dunque, parla non soltanto di identificazione, ma anche di identificabilità, una circostanza che ricorre in tutti quei casi in cui, dall’informazione contenuta in un dato apparentemente anonimo, sia possibile rilevare, direttamente o indirettamente, un collegamento pressoché univoco tra questa ed il soggetto cui si riferisce, attraverso un ragionevole impiego di mezzi di ricerca o di sforzi deduttivi.
Così inteso il concetto di dato personale, va ora specificato in cosa consista il suo trattamento. Con tale termine s’intende qualsiasi operazione, o complesso di operazioni, che siano effettuate sui dati personali, come ad esempio la loro raccolta, registrazione, modificazione, elaborazione, consultazione, conservazione, distruzione, cancellazione, diffusione, comunicazione, selezione, raffronto, utilizzo e via dicendo. In sintesi, il concetto di trattamento di dati personali comprende ogni possibile operazione svolta da un’azienda, un ente o anche un diverso tipo di organizzazione, che detenga dei dati personali relativi, ad esempio, ai propri clienti o a terzi.
I tempi di conservazione dei dati personali
Chiarito ciò, è possibile rispondere ai quesiti posti nel problema sopra esposto. In base all’art.11, comma 1, lett. e) del Codice della Privacy, i dati personali oggetto di trattamento devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati.
Pertanto, ogni azienda, società o altro tipo di ente dovrà adeguarsi a tale previsione normativa, provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati nel momento in cui la conservazione dei dati personali non risulti ulteriormente giustificata.
Nell’esempio che stiamo esaminando, i dati di chi non ha acquistato il prodotto, pur avendo avuto un precedente contatto con dei rappresentanti dell’azienda, dovranno essere immediatamente cancellati o trattati in forma anonima, ove la loro conservazione non risulti altrimenti giustificata, salvo che sia stato acquisito validamente il consenso informato degli interessati relativo ad una successiva attività di promozione commerciale o ricerca di mercato.
A proposito di quest’ultimo caso, e riguardo alla conservazione dei dati personali raccolti con finalità di marketing, il Garante si è espresso in alcune pronunce, invitando le aziende, nell’ambito della propria autonomia organizzativa, a prevedere una durata predeterminata. Questo orientamento deriva dall’intenzione di contemperare il diritto alla protezione dei dati personali con la libertà d’impresa.
Diversamente, la conservazione dei dati personali relativi a quei soggetti che si siano resi acquirenti può perdurare finché sussista un interesse giustificabile e cioè finché la loro conservazione risulti necessaria agli scopi per i quali sono stati raccolti e trattati, ad esempio fino al termine della garanzia offerta. In particolare, potranno essere conservati a tempo indeterminato i dati relativi alla clientela a vantaggio della quale la società abbia accordato una garanzia con durata illimitata.
L’informativa prevista dall’art. 13 del Codice Privacy
In ogni caso, quale che sia la modalità con cui avviene la raccolta delle informazioni personali della clientela (contatto telefonico, compilazione di modelli online, successivo incontro dimostrativo ed eventuale stipula del contratto) all’interessato devono essere sempre rese le informazioni previste dall’art. 13 del Codice; ai sensi della stessa norma, peraltro, non risulta necessario fornirgli elementi che già gli siano noti.
Come più volte ribadito dall’Autorità, al fine di rendere in modo chiaro e trasparente l’informativa agli interessati, gli elementi individuati all’art. 13 del Codice devono figurare in un unico contesto e l’informativa inserita all’interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, per essere così agevolmente individuabile rispetto ad altre clausole.
In conclusione, risulta opportuno che ogni azienda adotti una propria politica interna che conduca alla redazione di un documento da aggiornare periodicamente, in cui venga esplicitata la propria politica in tema di conservazione dei dati, indicando, nel dettaglio, le scadenze da rispettare nella conservazione dei dati personali, nelle diverse ipotesi che potrebbero verificarsi. Nello stilare tale documento, la società dovrebbe tener conto delle esigenze di ciascuna area aziendale in tema di trattamento dei dati, per adottare misure e tempi di conservazione che riescano a bilanciare i suoi interessi con il rispetto della privacy dei soggetti interessati.