⚖️ Data retention, conservazione dati a norma di legge

Per data retention si intende il periodo di conservazione dei dati personali.

Il GDPR non definisce un termine per il trattamento dei dati, ma stabilisce il principio di limitazione del trattamento: i dati possono essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati acquisiti. Salvo poi casi specifici definiti dalla stessa normativa europea. 

Tuttavia a oggi sono in vigore normative nazionali che spesso sono disallineate rispetto ai principi sanciti dalla normativa europea sulla data retention. Questa incongruenza vale soprattutto per le norme che stabiliscono i tempi di conservazione dei tabulati telefonici per ragioni di carattere probatorio. 

I fornitori di servizi telefonici sono in possesso di dati personali importanti, quali il numero di telefono da cui è partita una chiamata, il numero di telefono che ha ricevuto la chiamata; la durata delle telefonate. Stessa cosa vale per i dati telematici.

La Corte di Giustizia europea è intervenute varie volte negli ultimi anni, con sentenze che costituiscono punti di riferimento fondamentali. 

Data retention e diritti fondamentali: le sentenze della Corte di Giustizia

La Corte di Giustizia EU si è pronunciata più volte in merito alla conservazione e al trattamento dei dati telefonici e telematici.

A oggi contiamo 5 sentenze, dal 2014 al 2022, in merito alla conservazione dei dati per finalità di prevenzione e repressione dei reati. 

La prima sentenza del 2014, la sentenza Digital Rights, produce l’effetto di dichiarare illegittima la Direttiva “Frattini” 2006/24/CE, che disciplina la conservazione e il trattamento dei dati personali contenuti nei tabulati telefonici a fini probatori. La pronuncia è stata emessa nel 2014, quindi addirittura prima dell’entrata in vigore del GDPR, per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.

Questa pronuncia stabilisce la centralità del diritto alla protezione dei dati personali anche in un settore – quale quello del contrasto al crimine – in cui maggiori sono le limitazioni alle libertà, ammesse per esigenze d’interesse generale.

Questo il commento del Garante alla sentenza:

Il punto cardine della pronuncia è il rispetto del principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza; proporzionalità che non va delineata in astratto e in maniera indifferenziata rispetto a qualsiasi reato ma che, al contrario, esige una differenziazione attentamente modulata in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato.

La pronuncia più recente della Corte di Giustizia è quella dello scorso 4 aprile 2022 in cui si ribadisce che i governi degli Stati Membri non possono permettere la “conservazione generale e indiscriminata” dei dati di traffico e di localizzazione delle comunicazioni elettroniche.

Le sentenze della Corte Europea sono un riferimento importante per comprendere la ratio del GDPR per la determinazione del tempo di conservazione dei dati.

Data retention e GDPR: il principio di limitazione

Il GDPR stabilisce che i dati personali devono essere conservati per il tempo necessario al raggiungimento delle finalità per cui sono stati acquisiti. Dopo di ché i dati devono essere o cancellati o anonimizzati. 

Questo però non può essere sempre valido. Infatti ci sono delle eccezioni per cui i dati possono o devono essere conservati anche per un tempo successivo.

Ad esempio per la vendita: quando c’è un contratto, il venditore può conservare i dati del cliente per eventuali controlli fiscali, fino a10 anni.

L’obbligo di conservazione della documentazione per finalità fiscali o contrattuali non viene meno con l’entrata in vigore del GDPR.

Ma anche per quanto riguarda i dati telematici e i dati delle conversazioni telefoniche esiste un obbligo di conservazione a carico dei fornitori di servizi, a causa dell’utilità di questi dati per le indagini delle forze dell’ordine.

Criteri per stabilire il periodo di conservazione dei dati

Il GDPR definisce il principio di riferimento, la limitazione del trattamento, rimandandone l’applicazione concreta al titolare del trattamento che deve agire in base all’accountability.

Oggi questo principio vale anche per i dati trattati per finalità di marketing: con la legislazione antecedente i dati acquisiti per finalità di marketing potevano essere conservati per massimo 2 anni. Con il GDPR questa regola è decaduta, ma questo non autorizza il titolare del trattamento a conservare i dati senza definirne i limiti temporali.

Quindi come si deve regolare il titolare del trattamento?

Possiamo ricavare delle indicazioni dalle sanzioni erogate dal Garante. In particolare facciamo riferimento a due sentenze emesse in circostanze simili: 

La prima contestazione è nei confronti di Foodinho S.r.l., società controllata da Glovo che si occupa di delivery. La società ha ricevuto una sanzione per più violazioni, di cui una riguarda l’informativa privacy consegnata ai dipendenti dal titolare del trattamento. Il documento per quanto riguarda la durata del trattamento dei dati conteneva la dicitura “i dati sono trattati per il solo tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti e, in ogni caso, no oltre la cessazione del rapporto di collaborazione”. Secondo il Garante questa espressione è troppo generica e non è tutelante nei confronti degli interessati al trattamento.

Il secondo provvedimento è quello emanato nei confronti di Deliveroo Italy S.r.l., che tra le tante violazioni commesse per violazione del GDPR, c’è, anche in questo caso, quella legata alla dicitura dell’informativa in merito alla durata della conservazione dei dati dei dipendenti: “non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”. Secondo il Garante questa formula generica non rispetta il principio di trasparenza nei confronti degli interessati al trattamento. 

Cosa si deduce da queste pronunce?

Come si definisce la data retention per essere a norma di GDPR?

1. La durata del trattamento deve essere definita e chiara
2. Se non si può stabilire la data di cessazione del trattamento allora va stabilito un criterio chiaro attraverso cui l’interessato al trattamento sa con certezza quando cesserà il trattamento dei suoi dati.

La durata del trattamento deve essere specificata sia nel registro dei trattamenti che nell‘informativa privacy.

Vediamo però casi specifici di conservazione dei dati.

Data retention a fini di giustizia: la conservazione dei dati telefonici

Quando si parla di data retention non si può non parlare dei dati relativi alle telefonate in possesso dei fornitori dei servizi. Come abbiamo visto le sentenze della Corte di Giustizia sono proprio relative al trattamento di questi dati. Da queste pronunce possiamo ricavare principi cardine da utilizzare come criteri per determinare il tempo di conservazione dei dati personali, affinché non violi i diritti fondamentali.

Per adempiere alle sollecitazioni della Corte di Giustizia e di conseguenza del Garante italiano, nel 2018 viene riformulato l’art.132 del codice della privacy in tema di conservazione dei dati di traffico telefonico. Questo è l’articolo che disciplina gli obblighi dei fornitori di servizi telefonici, che, nel corso degli anni, è stato più volte modificato.

L’articolo ristabilisce i termini di data retention per i dati telefonici:

• 24 mesi per il traffico telefonico 
• 12 mesi per il traffico telematico
• 30 giorni per le chiamate senza risposta. 

Tuttavia viene fatto salvo il termine di 72 mesi per la repressione di tutte le tipologie di reato, previsti dall’ art. 24 della legge 167 del 20 novembre 2017. 

Nel 2021 si mette di nuovo mano all’art. 132, e vengono inseriti i commi che disciplinano i casi in cui i dati delle telefonate possono essere acquisiti:

• se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni
• per reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi.

È sempre comunque necessaria l’autorizzazione del giudice. 

Questa modifica era stata più volte auspicata dal Garante della Privacy, che riteneva essere necessaria l’autorizzazione di un soggetto terzo per l’acquisizione dei dati telefonici. 

Inoltre in questo modo si applica il principio di proporzionalità tra esigenze di combattere il crimine e rispetto dei diritti fondamentali, più volte ribadito dalla Corte di Giustizia Europea. 

Tuttavia questo non basta: l’ultima sentenza della Corte di Giustizia, ha dato l’occasione al Garante per ribadire che deve essere modificata la legge 167 del 2017.

Dati di traffico telefonico: quali sono?

La definizione dei dati di traffico telefonico e di dati telematici è stata data dalla Direttiva “Frattini”,  che ricordiamo è stata dichiarata illegittima dalla Corte di Giustizia Europea nel 2014.

In ogni caso possiamo ricavare la definizione di dati telefonici e telematici dall’art. 5 della Direttiva stessa. I dati da conservare sono di sei tipi: 

1. i dati necessari per rintracciare e identificare la fonte di una comunicazione:
   1. per la telefonia di rete fissa e la telefonia mobile:
      • i) numero telefonico chiamante;
      • ii) nome e indirizzo dell’abbonato o dell’utente registrato;
   2. per l’accesso Internet, posta elettronica su Internet e telefonia via Internet:
      • i) identificativo/i dell’utente;
      • ii) identificativo dell’utente e numero telefonico assegnati a ogni comunicazione sulla rete telefonica pubblica;
      • iii) nome e indirizzo dell’abbonato o dell’utente registrato a cui al momento della comunicazione sono stati assegnati l’indirizzo di protocollo Internet (IP), un identificativo di utente o un numero telefonico;
2. i dati necessari per rintracciare e identificare la destinazione di una comunicazione:
   1. per la telefonia di rete fissa e la telefonia mobile:
      • i) numero/i digitato/i (il numero o i numeri chiamati) e, nei casi che comportano servizi supplementari come l’inoltro o il trasferimento di chiamata, il numero o i numeri a cui la chiamata è trasmessa;
      • ii) nome/i e indiindirizzo/i dell’abbonato/i o dell’utente/i registrato/i;i
      • v) l’IMSI del chiamato;
      • v) l’IMEI del chiamato;
      • vi) nel caso dei servizi prepagati anonimi, la data e l’ora dell’attivazione iniziale della carta e l’etichetta di ubicazione (Cell ID) dalla quale è stata effettuata l’attivazione;
3. per l’accesso Internet, la posta elettronica su Internet e la telefonia via Internet:
   • i) numero telefonico chiamante per l’accesso commutato (dial-up access);
   • ii) digital subscriber line (DSL) o un altro identificatore finale di chi è all’origine della comunicazione;
4. i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile:
   1. etichetta di ubicazione (Cell ID) all’inizio della comunicazione;
   2. dati per identificare l’ubicazione geografica delle cellule facendo riferimento alle loro etichette di ubicazione (Cell ID) nel periodo in cui vengono conservati i dati sulle comunicazioni. 

Conclusioni: come si determina la data retention

A prescindere dall’ambito delle intercettazioni telefoniche, il principio di limitazione del trattamento dei dati riguarda tutti i titolari del trattamento.

La mancanza di determinazione del periodo di conservazione dei dati da parte del GDPR è stato interpretata come un lasciapassare. Quindi la data retention è stata presa alla leggera, e spesso non è determinata. Ma le sentenze del Garante dimostrano che essere vaghi o non seguire un criterio ben preciso, non sono le condotte corrette da seguire. 

Il termine per la conservazione dei dati personali acquisiti deve essere definito, e la definizione non può essere lasciata al caso, altrimenti si viola il principio di trasparenza nei confronti dell’interessato al trattamento. 

La data retention va determinata in base alla quantità di dati trattati, alla tipologia, e alle finalità per cui sono trattati.

La definizione dei termini di trattamento deve essere fatta a priori, ed è strettamente legata alle scelte relative ai mezzi con cui si conservano e cancellano i dati. Quindi la data retention è strettamente legata alla privacy by design. 

Noi, come studio legale specializzato in GDPR, lo sappiamo. 

E tu? Hai determinato correttamente la data retention?