Tempi di conservazione: un tema spinoso

 

Per quanto tempo è lecito conservare i dati personali dei lavoratori, dei clienti o di coloro che inviano curriculum è una domanda che crea sempre grattacapi.

C’è chi conserva tutto e ha ancora le pratiche che ha trattato da quando ha aperto; altri  tengono tutto, indistintamente, per una decina di anni.

Le regole dicono qualcosa di diverso: i dati, se sono identificativi, ossia individuano direttamente un soggetto o consentono di farlo con altri mezzi, devono essere conservati solamente per il tempo strettamente necessario a effettuare le operazioni per le quali sono stati raccolti: se mi dai i tuoi dati perché mi chiedi una consulenza, devo tenerli solo per il tempo necessario a fare il mio lavoro.

Ma nella “pratica” di consulenza ci finiranno, come ovvio, tante informazioni: talvolta non solo quelle necessarie alla stretta consulenza ma, per esempio, anche quelle successive, come la fattura finale. E questa, per esempio, dovrà essere conservata per un tempo ulteriore rispetto alla fine del mandato. Se, poi, per fare un altro esempio, durante il rapporto avessi raccolto informazioni che, successivamente, avessi ritenuto non necessarie, avrei dovuto “smettere” di tenerle e restituirle o cancellarle. I dati non sono tutti uguali: un conto è tenere una fattura, un altro la pratica intera, con tutto quello che contiene.

Potrebbe poi essere necessario avere delle informazioni se qualcuno ci fa causa; anche qui, però, non tutte quelle che abbiamo “usato” durante il contratto saranno necessarie.

Si potrebbe continuare con esempi di altre attività ma il punto è che, di solito, le imprese tendono a tenere tutto quanto indistintamente, spesso senza soluzione di continuità e altrettanto spesso “tutto insieme”.

E’ un comportamento comprensibile ma non corretto, oltre che talvolta rischioso (dal punto di vista della sicurezza, delle responsabilità legali e contrattuali, della reputazione).

Una base di partenza potrebbe essere quella di avere una corretta mappatura e classificazione dei dati e delle informazioni che si possiedono.

Si dovrebbe poi individuare per ciascun “gruppo” di dati quale sia il periodo più corretto per la loro conservazione, perché come detto non è uguale per tutti.

Per far questo bisogna creare, mantenere e monitorare una politica precisa, meglio se documentata e conosciuta dai responsabili aziendali e da coloro che si occupano dei sistemi IT.

Una guida per conoscere alcune pratiche e avere utili consigli, anche se alcuni di essi prettamente destinati al Regno Unito, è stata pubblicata un annetto fa da DPN Network ed è liberamente scaricabile (https://dpnetwork.org.uk/data-retention-guidance/).

Se invece voleste sapere quali sono i consigli del Garante (un po’ datati ma anch’essi utili) sulla #cancellazionesicura dei dati, sono rinvenibili qui:  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1574080

 

 

#dataprotection #privacy #dataretention #tempidiconservazione