Data Retention è il "periodo di conservazione dei dati", che è considerata informazione essenziale dalle norme del GDPR. Anche se spesso con tale termine ci si riferisce alla Direttiva Data Retention del 2006, poi invalidata dalla Corte di Giustizia europea. 

 

Direttiva Data Retention

La direttiva europea 2006/24/CE del Parlamento europeo e del Consiglio regolamentava la conservazione (compreso i tempi) di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione. Adottata in seguito agli attentati di Londra e Madrid del 2004 e 2005, armonizzava le disposizioni degli Stati membri dell'UE sulla conservazione dei dati delle conversazioni telefoniche e del traffico telematico, garantendone, quindi, la disponibilità a fini di indagine e di perseguimento di gravi reati. 

L'Alta Corte irlandese e la Corte Costituzionale austriaca sollevarono la questone della legittimità della direttiva, alla luce della normativa europea, dinanzi alla Corte di Giustiza europea, che con sentenza dell'8 aprile 2014 (cause riunite C-293/12 e C-593/12) dichiarava l'invalidità della direttiva stessa, e quindi l'inefficacia fin dalla sua entrata in vigore. Secondo la Corte europea la direttiva risultava sproporzionata rispetto all'obiettivo, censurandone la natura non "mirata" della misura di sorveglianza e la possibilità di acceso indiscriminato da parte delle autorità ai dati conservati. In effetti, la sentenza della Corte è contro la sorveglianza digitale di massa

Allo stato non è stata approvata alcuna direttiva in sostituzione, che comunque, in base al pronunciamento della Corte, dovrebbe garantire un giusto equilibro tra gli interessi legittimi in gioco. 

Ovviamente l'inefficacia della direttiva non comporta l'automatica caducazione delle norme interne, dei singoli Stati, in materia. In teoria un giudice potrebbe disapplicare le norme interne se ritenute in contrasto coi oprincipi stabiliti dalla Corte europea, nella pratica tali norme permangono finché non vengono modificate dal legislatore nazionale. Molti legislatori, però, hanno preferito non cambiare le proprie regole, certe volte mantenendo norme anche palesemente in contrasto con i principi dettati dalla Corte europea con la sentenza suddetta. Tra questi Stati vi è anche l'Italia che, addirittura, ha aumentato ulteriomente il periodo di data retention dei dati telefonici e telematici, fino a 72 mesi (cioé 6 anni) in assenza di criteri oggettivi di conservazione, con la legge 167/2017, poi confermata dal decreto 101/2018, di modifica dell'articolo 132 del Codice per la protezione dei dati personali

 

Periodo di conservazione dei dati

L'articolo 13 del GDPR prevede che il titolare del trattamento debba informare gli interessati circa il periodo di conservazione dei dati personali, oppure, se ciò non è possibile, almeno dei "criteri utilizzati per determinare tale periodo” (comma 2, lettera a). 

Inoltre, l'articolo 5 lettera e stabilisce che i dati devono essere "conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);". Tale principio era comunque previsto anche dalla precedente normativa. 

Valutare correttamente l’estensione temporale di tale periodo è, quindi, essenziale al fine di ottenere la comliance col GDPR. 

Il tempo di conservazione va valutato in relazione alla finalità del trattamento, per cui a diverse finalità possono corrispondere diversi termini. Alcuni tempi sono stabiliti da leggi (ad esempio le norme per i fornitori di servizi telefonici o telematici) o obblighi contrattuali (es. i dati fiscali), altri sono stabiliti direttamente dal titolare. 
Il Garante ha emanato provvedimenti che aiutano il titolare nella fissazione dei termini di conservazione dei dati.  
Ovviamente un tempo di conservazione infinito non è ammissibile, deve essere semprelimitatoe deve essere necessariamenteproporzionato alla finalitàmedesima. 

A tal fine va ricordato che alcuni dati possono essere conservati per gli adempimenti relativi alla garanzia di un prodotto, o anche per tutelarsi in vista di possibili contenziosi. In quest'ultimo caso si farà riferimento ai termini di prescrizione dell'azione giudiziaria corrispondente, aumentati di un breve periodo correlati agli adempimenti necessari (deposito atti giudiziari, ecc...). In caso di contenzioso si ha un cambio di finalità di trattamento, per cui il termine di conservazione è separato da quello originario. 

Alla scadenza del termine di conservazione il dato va cancellato (ovviamente da tutti i supporti, compreso i backup), oppure in alternativa anonimizzato. 

Ovviamente le scelte operate dal titolare, nell'ottica del principio di responsabilizzazione, vanno documentate opportunamente, nel registro dei trattamenti o in altri documenti.