di Antonio Serriello

I dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati. Diverse pronunce del Garante della Privacy, in considerazione di tale assunto, hanno considerato illecite le condotte di aziende e società che prolungavano nel tempo la conservazione dei dati personali di soggetti terzi senza una giustificabile necessità.

Scopri GoPrivacy: il Software per la gestione dei nuovi adempimenti del GDPR >>

Il rispetto della disciplina in materia di conservazione dei dati personali rappresenta un aspetto delicato della gestione aziendale, che può esporre il titolare a pesanti sanzioni pecuniarie in caso di trattamento illecito di dati personali.

Analizziamone i tratti salienti, prendendo spunto da una situazione affrontata dai nostri esperti legali, che riguarda il trattamento dei dati di chi, dopo un iniziale contatto con i rappresentanti commerciali di un’azienda, non ha poi, in concreto, effettuato l’acquisto del prodotto proposto.

Il problema

Tutti gli anni, una ditta specializzata nella vendita di software antivirus, presenta gli aggiornamenti dei prodotti ad una fiera nazionale, nel corso della quale – oltre a vendere i prodotti a prezzo scontato – raccoglie dati dei potenziali interessati. Per quanto tempo possono essere conservati questi dati senza incorrere in sanzioni? Soprattutto, esiste una differenza nel successivo trattamento dei dati di chi acquista il prodotto (e quindi sarà seguito per un determinato numero di anni fino al termine della garanzia offerta) e di chi non lo acquista? Per quanto tempo possono essere trattati, per scopi di telemarketing, i dati di chi non ha acquistato il prodotto?

Che cos’è un dato personale e in cosa consiste il suo trattamento

Per rispondere a tali quesiti, è opportuno riassumere brevemente i concetti cardine di questa materia, chiarendo innanzitutto cosa sia, tecnicamente, un “dato personale”. In base al Codice della Privacy, sono dati personali quelle informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, e così via.

La legge, dunque, parla non soltanto di identificazione, ma anche di identificabilità, una circostanza che ricorre in tutti quei casi in cui, dall’informazione contenuta in un dato apparentemente anonimo, sia possibile rilevare, direttamente o indirettamente, un collegamento pressoché univoco tra questa ed il soggetto cui si riferisce, attraverso un ragionevole impiego di mezzi di ricerca o di sforzi deduttivi.

Così inteso il concetto di dato personale, va ora specificato in cosa consista il suo trattamento. Con tale termine s’intende qualsiasi operazione, o complesso di operazioni, che siano effettuate sui dati personali, come ad esempio la loro raccolta, registrazione, modificazione, elaborazione, consultazione, conservazione, distruzione, cancellazione, diffusione, comunicazione, selezione, raffronto, utilizzo e via dicendo. In sintesi, il concetto di trattamento di dati personali comprende ogni possibile operazione svolta da un’azienda, un ente o anche un diverso tipo di organizzazione, che detenga dei dati personali relativi, ad esempio, ai propri clienti o a terzi.

I tempi di conservazione dei dati personali

Chiarito ciò, è possibile rispondere ai quesiti posti nel problema sopra esposto. In base all’art.11, comma 1, lett. e) del Codice della Privacy, i dati personali oggetto di trattamento devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati.

Pertanto, ogni azienda, società o altro tipo di ente dovrà adeguarsi a tale previsione normativa, provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati nel momento in cui la conservazione dei dati personali non risulti ulteriormente giustificata.

Nell’esempio che stiamo esaminando, i dati di chi non ha acquistato il prodotto, pur avendo avuto un precedente contatto con dei rappresentanti dell’azienda, dovranno essere immediatamente cancellati o trattati in forma anonima, ove la loro conservazione non risulti altrimenti giustificata, salvo che sia stato acquisito validamente il consenso informato degli interessati relativo ad una successiva attività di promozione commerciale o ricerca di mercato.

A proposito di quest’ultimo caso, e riguardo alla conservazione dei dati personali raccolti con finalità di marketing, il Garante si è espresso in alcune pronunce, invitando le aziende, nell’ambito della propria autonomia organizzativa, a prevedere una durata predeterminata. Questo orientamento deriva dall’intenzione di contemperare il diritto alla protezione dei dati personali con la libertà d’impresa.

Diversamente, la conservazione dei dati personali relativi a quei soggetti che si siano resi acquirenti può perdurare finché sussista un interesse giustificabile e cioè finché la loro conservazione risulti necessaria agli scopi per i quali sono stati raccolti e trattati, ad esempio fino al termine della garanzia offerta. In particolare, potranno essere conservati a tempo indeterminato i dati relativi alla clientela a vantaggio della quale la società abbia accordato una garanzia con durata illimitata.

L’informativa prevista dall’art. 13 del Codice Privacy

In ogni caso, quale che sia la modalità con cui avviene la raccolta delle informazioni personali della clientela (contatto telefonico, compilazione di modelli online, successivo incontro dimostrativo ed eventuale stipula del contratto) all’interessato devono essere sempre rese le informazioni previste dall’art. 13 del Codice; ai sensi della stessa norma, peraltro, non risulta necessario fornirgli elementi che già gli siano noti.

Come più volte ribadito dall’Autorità, al fine di rendere in modo chiaro e trasparente l’informativa agli interessati, gli elementi individuati all’art. 13 del Codice devono figurare in un unico contesto e l’informativa inserita all’interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, per essere così agevolmente individuabile rispetto ad altre clausole.

In conclusione, risulta opportuno che ogni azienda adotti una propria politica interna che conduca alla redazione di un documento da aggiornare periodicamente, in cui venga esplicitata la propria politica in tema di conservazione dei dati, indicando, nel dettaglio, le scadenze da rispettare nella conservazione dei dati personali, nelle diverse ipotesi che potrebbero verificarsi. Nello stilare tale documento, la società dovrebbe tener conto delle esigenze di ciascuna area aziendale in tema di trattamento dei dati, per adottare misure e tempi di conservazione che riescano a bilanciare i suoi interessi con il rispetto della privacy dei soggetti interessati.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.