“Teniamo tutto, può sempre servire.”
Quante volte abbiamo detto o ascoltato questa frase mentre si discuteva di dati, informazioni, liste e anagrafiche, soprattutto di clienti oppure, semplicemente, di documenti?
Non solo il Garante della Privacy non è d’accordo, ma alcune regole stabiliscono il contrario!
Recentemente una grande azienda è stata pesantemente sanzionata per avere detenuto, per molti anni, senza un valido motivo, i dati di oltre tre milioni di persone.
Al di là di altre violazioni, la società è stata multata perché gli ispettori del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza hanno rinvenuto i dati di quasi tre milioni e trecentomila clienti nei database della società, “alimentati” da liste provenienti dalla capogruppo tedesca.
La società italiana, acquisiti i dati dalle aziende incorporate dal gruppo, li aveva lasciati a lungo inerti, senza preoccuparsi di analizzare se fosse necessario avere una legittima “base giuridica” per la conservazione: anche questa pratica, infatti (la “mera” conservazione), costituisce un trattamento di dati personali.
Oltre a dover cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto), alla società è stato ulteriormente imposto di cancellare oppure di “pseudonimizzare” quelli più recenti. Anche in questa ipotesi, tuttavia, se i clienti non provvederanno a rinnovare la propria adesione ai programmi di fidelizzazione oppure a rinnovare o a prestare idonei consensi al trattamento, i dati dovranno essere definitivamente cancellati.
Data retention: il principio di limitazione della conservazione
Uno dei principi fondamentali della “privacy” o, meglio, della protezione dei dati, è quello della limitazione della conservazione: i dati, allorché consentano l’identificazione di una persona, non devono essere conservati per un periodo superiore a quello necessario a conseguire le finalità per le quali sono stati raccolti.
Non è sempre facile determinare quale sia l’esatto periodo di tempo, tutt’altro.
Di sicuro, però, in questo caso possiamo affermare che l’antico detto “melius abundare…” non è pertinente!
I principi fondamentali della normativa in materia di protezione dei dati sono importanti: non per niente l’articolo 5 del Gdpr, il Regolamento Europeo in materia, li precisa e definisce in modo particolareggiato con un titolo eloquente: liceità del trattamento.
Ciò significa che non osservare questi principi rende di per sé le attività espletate illecite e, quindi, sanzionabili.
E se cominciassimo ad applicare il principio opposto: less is more? 😉
Pensiamoci.