A partire dal 25 maggio 2018 è pienamente operativo il Regolamento (UE) 2016/679, c.d. GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Tuttavia, i lavori di adeguamento della normativa italiana al GDPR sono ancora un cantiere aperto. Infatti, entro il 21 maggio avrebbe dovuto essere emanato il decreto legislativo di coordinamento della legge italiana al GDPR, ma lo schema di decreto è stato trasmesso dal Governo alle Commissioni speciali solamente il 10 maggio 2018. Pertanto, in ragione del mancato arrivo dei due pareri delle Commissioni, che hanno ritenuto l’attuale testo troppo impreciso e evidenziato numerose criticità di marcato rilievo giuridico, il termine del recepimento della delega da parte del Governo è slittato dal 21 maggio 2018 al 21 agosto 2018.
Questo però non significa che sia stata concessa una moratoria per le sanzioni, o che si possa asserire che vi sia stato un differimento dell’entrata in vigore del GDPR, in quanto i regolamenti UE sono immediatamente esecutivi, e tuttora in Italia esiste il “vecchio” codice privacy (D.lgs. 19672003), che però per alcuni aspetti non è ancora allineato al Regolamento UE
Uno degli elementi di novità, che continua a dare qualche grattacapo ad aziende e professionisti del settore nei lavori di adeguamento al GDPR, è senza dubbio l’identificazione del periodo di conservazione dei dati personali trattati, o la definizione dei criteri utilizzati per determinare il periodo.
Nella “nuova” informativa privacy, i Titolari del trattamento dei dati devono infatti esplicitare tale periodo nei confronti dei gli interessati, e cioè dei propri clienti, dipendenti e venditori.
Ma come si può individuare e determinare il giusto periodo di conservazione dei dati?
Le aziende ed i professionisti che prima dell’entrata in vigore del GDPR si erano dotati di una data retention policy sono una percentuale davvero molto ristretta.
Vediamo quindi quali sono i primi passi da intraprendere per gli intermediari e gli operatori del mondo assicurativo che vogliono ottemperare correttamente a questo obbligo normativo, anche ai fini dell’inserimento di tale importante informazione nell’informativa privacy e nel registro dei trattamenti.
Innanzitutto è importante capire quali dati si trattano, si raccolgono e si archiviano, con una mappatura di dettaglio. A seguito di ciò, bisogna capire per quanto tempo questi dati vengono conservati. Non esiste un’unica soluzione che possa essere adatta a tutti. Il periodo di conservazione dei dati cambia non solo in base al tipo di dati personali e alle finalità del trattamento, ma anche al tipo di settore in cui opera l’azienda, e delle normative di riferimento di cui tener conto. Di seguito un riepilogo sintetico ed esemplificativo, di norme e regolamenti che possono essere di ausilio per coloro che operano nel settore assicurativo, al fine di individuare dopo quanto tempo i dati raccolti e trattati dovranno essere cancellati.
Utilizzare la dicitura standard “i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati”, seppur rispondente al principio di minimizzazione del trattamento dei dati personali, non è del tutto compatibile con lo spirito del GDPR. Ma non sempre è possibile stilare un’informativa tailor-made per ogni interessato, prevedendo un tempo di conservazione specificamente individuato in base alle finalità che di volta in volta contraddistinguono il trattamento dei dati personali.
A titolo di esempio, si propone quindi una formula che potrebbe essere appropriata in caso di dati trattati per la proposizione e conclusione di contratti assicurativi, per la gestione degli stessi e per l’adempimento dei conseguenti obblighi normativi e regolamentari:
“I suoi dati saranno conservati per il tempo strettamente necessario all’espletamento delle attività connesse alle finalità di cui all’informativa privacy, nonché per adempiere ad obblighi di legge, di contratto e di archiviazione del settore assicurativo, che di regola non sono superiori a 10 anni, fatti salvi in ogni caso periodi di conservazione maggiori previsti dalle specifiche normative di settore.
In caso di contestazione, i suoi dati verranno conservati fino al termine prescrizionale previsto dalla normativa per la tutela dei diritti connessi al rapporto contrattuale.
Con specifico riferimento all’invio di comunicazioni commerciali ed attività di profilazione, i suoi dati saranno conservati sino alla revoca del consenso, e comunque non oltre due anni per finalità commerciali, e un anno per le finalità di profilazione, termini decorrenti dalla cessazione dei rapporti con la Società Alfa.”
Infine, occorre sottolineare che lo scopo precipuo del GDPR non è limitato alla mera identificazione del periodo massimo di conservazione dei dati personali, ma è necessario adottare procedure tecniche ed organizzative volte all’effettiva cancellazione dei dati alla scadenza del succitato periodo. Infatti, qualora dovesse verificarsi un data breach, sarebbe davvero difficile giustificare una violazione in relazione ai dati personali che avrebbero dovuto già essere cancellati, con il conseguente rischio di ingenti sanzioni per il Titolare del trattamento dei dati personali.
Se pensate che questo articolo sia interessante, condividetelo sul social network che preferite.
Angela Fiorella
DEKRA Italia S.r.l
Business Development & Account ManagerClaims & Expertise Services
Avv. Angela Fiorella – DATA RETENTION: PER QUANTO TEMPO CONSERVARE I DATI PERSONALI?
0 Comments
Leave A Comment