Rivista 231 Rivista 231
     HOME          CHI SIAMO     HANNO COLLABORATO    SHOPPING 231      COME ABBONARSI
Username: Password:
Sab, 17 Nov 2018
LE RUBRICHE


GLI INTERVENTI
ANNO 2018
ANNO 2017
ANNO 2016
ANNO 2015
ANNO 2014
ANNO 2013
ANNO 2012
ANNO 2011
ANNO 2010
ANNO 2009
ANNO 2008
ANNO 2007
ANNO 2006
ANNO 2005


LE NOTIZIE


SULLA CONSERVAZIONE DEI DATI PERSONALI (CONSIDERAZIONI ALLA LUCE DEL REGOLAMENTO UE 2016/679) - di Jacopo Dirutigliano, Dottore magistrale in Giurisprudenza




Introduzione al Regolamento 2016/679

Il 25 maggio 2018 ha acquisito efficacia esecutiva il Regolamento UE 2016/679 in materia di trattamento dei dati personali, con un forte impatto sul panorama giuridico internazionale: il Regolamento (o GDPR, acronimo di "General Data Protection Regulation") rappresenta infatti un punto di arrivo per la legislazione comunitaria che, mediante tale riforma, aveva l'obiettivo di fornire maggiori tutele ai diritti e alle libertà delle persone fisiche, di uniformare la disciplina del trattamento dei dati personali a livello Europeo fino ad ora troppo disomogenea, nonché di favorire la libera circolazione dei dati e lo sviluppo dell'economia digitale.
Il Regolamento ha inoltre l'indubbio pregio, attraverso l'armonizzazione della disciplina, di tentare di riequilibrare la competitività delle imprese situate in Unione Europea con le multinazionali estere, le uniche vere competitor nel settore del mercato dei dati personali.
Il lungo lavoro di redazione del Regolamento ha aggiornato l'approccio al tema della data protection, consapevole di dover affrontare nuove sfide conseguenti alle evoluzioni tecnologiche, alla digitalizzazione della vita quotidiana, all'uso dei Big Data e all'Internet of Things: per questo il Regolamento prevede strumenti che consentano di tutelare maggiormente le persone fisiche attraverso una maggiore responsabilizzazione di coloro che trattano tali dati.


Il principio di limitazione della conservazione dei dati

Con l'entrata in vigore del Regolamento, i data controller (i "titolari del trattamento", ossia coloro che stabiliscono le finalità e i mezzi del trattamento) si stanno adeguando alle nuove disposizioni introdotte, al fine di raggiungere la compliance al GDPR attraverso la c.d. accountability.
Uno dei principi fondamentali del Regolamento, che sta causando non pochi problemi ai titolari, incidendo soprattutto sulla organizzazione e sulle modalità di trattamento dei dati (basti pensare all'adeguamento di sistemi informatici e software), è il principio di "limitazione della conservazione": esso, per come prefigurato, consiste nell'obbligo di limitare il periodo di conservazione dei dati personali al minimo necessario. Il GDPR, infatti, stabilisce che i dati debbono essere «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato» (art. 5). Inoltre, al fine di assicurare che i dati personali non siano conservati più a lungo del necessario, «il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica» (cons. 39).
La ratio della limitazione della conservazione è da ricercare nella tutela delle libertà degli interessati: da un lato, infatti, si permette all'interessato di avere maggiore "controllo" sulla circolazione dei suoi dati personali, dall'altro lato, qualora dovesse verificarsi un data breach, si genererebbero rischi per i diritti e le libertà delle persone fisiche, evitabili se fosse rispettato tale principio.


Determinazione dei criteri di durata della conservazione dei dati

È dunque necessario per i titolari del trattamento individuare il periodo di conservazione dei dati personali per diverse ragioni: innanzitutto (come anticipato) per organizzare le modalità di trattamento dei dati, mettendo «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (privacy by default), poiché «tale obbligo vale per […] il periodo di conservazione» (art. 25 par. 2); conseguentemente, i titolari dovranno individuare un metodo efficace per la cancellazione o l'anonimizzazione del dato, nel rispetto del principio di accountability; infine, la c.d. "informativa privacy" (per usare una terminologia tipicamente italiana) da comunicare agli interessati e il Registro del trattamento (di cui all'art. 30 del Regolamento) devono contenere l'identificazione del periodo di conservazione dei dati personali trattati o dei criteri utilizzati per determinare tale periodo.
Nell'individuare questi termini va tenuto c.....

 

Il seguito è riservato agli Abbonati

Scelga l'abbonamento più adatto alle Sue esigenze