L'autore
BEATRICE BARDELLI
DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab
Cosa è successo?
A inizio dicembre il Garante Privacy si è espresso per fare chiarezza su una tematica spinosa come quella della videosorveglianza, ribadendo l’importanza di seguire i principi espressi nel GDPR, primo fra tutti quello dell’accountability. Una delle precisazioni fatte dal Garante ha riguardato proprio i tempi di conservazione dei dati.
All’interno delle sue FAQ il Garante ha sottolineato che “in base al principio di responsabilizzazione (art. 5, paragrafo 2, del GDPR), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
Escludendo i casi e le specifiche norme di legge che impongono un termine specifico per la conservazione (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”) non sono espressamente determinati nel GDPR tempi di conservazione dei dati e si è quindi superato quanto previsto dal vecchio provvedimento generale dell’8 aprile 2010 che prevedeva una conservazione limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze.
Cosa cambia per il titolare dell’azienda?
È quindi in capo al singolo titolare del trattamento determinare, caso per caso, per quanto tempo sia lecito protrarre un trattamento di dati personali nel rispetto dei diversi principi del Regolamento europeo e, in particolare, quelli di liceità, proporzionalità e minimizzazione.
È bene ricordare che durante la visita ispettiva potrebbe essere richiesto al Titolare di esplicitare quale è il tempo di conservazione dei dati prefissato per ogni trattamento effettuato e soprattutto quali sono stati i criteri che hanno portato alla determinazione di uno specifico periodo di tempo.
Non è sufficiente stabilire in maniera automatica le tempistiche per la conservazione e cancellazione dei dati, ma occorre avere la consapevolezza del perché sia stata compiuta una determinata scelta.
A ribadire questo concetto è di nuovo il Garante che sempre nelle FAQ esplicita come un periodo di conservazione di pochi giorni dovrebbe essere considerato sufficiente a consentire al titolare del trattamento di raggiungere lo scopo perseguito attraverso un sistema di videosorveglianza la cui finalità è in genere la sicurezza e la protezione del patrimonio.
In ogni caso, sottolinea, “quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.
In conclusione
Alla luce di queste osservazioni vi consigliamo di rivedere tutte le politiche di conservazioni dei dati attuate, ponendo maggiore attenzione ai trattamenti di dati particolari, andando a verificare che tale periodo venga effettivamente rispettato. Se possibile sarebbe bene raccogliere le motivazioni che sottostanno a specifiche scelte per averle a disposizione nel caso di una visita ispettiva.
Il vostro DPO, sia interno che esterno, può aiutarvi e supportarvi nel capire se le decisioni prese siano effettivamente le migliori per garantire l’accountability del Titolare!
Per concludere ricordiamo che quanto detto per la videosorveglianza vale ovviamente per tutti i trattamenti che effettua l’azienda e in particolare nel caso di dati trattati per finalità di marketing e profilazione.
In questo caso occorrerà tenere a mente un ulteriore elemento nel compiere tali valutazioni, ossia il consenso espresso dagli interessati.
Rispetto alla durata del consenso anche le linee guida dell’EDPB di maggio 2020 ricordano che non è specificato nel GDPR un temine di validità per il consenso espresso dall’interessato perché esso dipende dal contesto, dalle motivazioni originarie e dalle aspettative dell’interessato e ciò implica che questo non possa durare per sempre. Se le modalità di trattamento cambieranno, il consenso espresso non sarà quindi più valido e sarà necessario ottenere un nuovo consenso se si vorrà continuare ad utilizzare quei dati.
Anche il Garante per la protezione dei dati personali con il provvedimento adottato lo scorso 15 ottobre 2020 ha di nuovo sottolineato che il consenso al trattamento dei dati personali per finalità promozionali deve considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e può ritenersi valido, indipendentemente dal tempo trascorso, se verranno rispettati i seguenti criteri:
– il consenso non è stato revocato dall’interessato ed è stato correttamente acquisito in origine;
– il consenso è ancora valido alla luce delle norme applicabili al momento del trattamento;
– i tempi di conservazione stabiliti dal titolare e indicati nell’informativa vengono rispettati.
