La durata (massima) di conservazione dei dati

Il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) ha introdotto molte e articolate novità, in materia di trattamento dei dati personali, rispetto alla precedente normativa nazionale conosciuta con il nome di “Codice della Privacy”.

Tra le maggiori novità vi è senza dubbio l’esplicita previsione (sconosciuta fino al 2016) del divieto di conservare i dati personali per un tempo superiore a quello necessario allo scopo del trattamento (come si legge all’art. 5, comma 1, lett.e) del GDPR) che si si traduce, necessariamente, “nell’obbligo in capo al Titolare del trattamento di provvedere alla cancellazione dei dati raccolti una volta decorso il tempo necessario a perseguire lo scopo, non potendo essere conservati per periodi ulteriori“.

E se ogni regola ha la sua eccezione anche questa ha la sua.

Infatti, il Regolamento Europeo per la Protezione dei Dati consente di conservare i dati per un tempo maggiore, eccedente quindi la finalità perseguita (e compiuta) della loro raccolta, purché gli stessi dati siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per fini statistici e previa attuazione di adeguate misure tecniche e organizzative poste a tutela dei soggetti e delle libertà dell’interessato (corrispondente al principio “della limitazione della conservazione”).

Ma c’è una tipologia di dati che sfugge a qualsiasi limitazione di durata della loro conservazione e afferisce a dati davvero molto particolari, i più particolari tra i dati particolari (gli ex “dati sensibili”), quelli relativi allo stato di salute (!)

Invero, e con giustificazione ad oggi inoppugnabile, la conservazione della documentazione sanitaria non è sottoposta ad alcun termine temporale. Infatti, come stabilito dalla Circolare del Ministero della Sanità del 19.12.1986 (n. 900) “le cartelle cliniche come i referti devono essere conservati per sempre, in virtù della loro ufficialità di fronte al diritto e perché costituiscono oggetto di ricerca in diversi campi.”

Per quanto sembri un paradosso, è proprio la valenza della particolare tipologia di dato e la delicatezza a cui afferisce che lo rende degno di tutela, fino al punto di garantirne la sua conservazione per sempre.

Prevenire è meglio che curare. Sempre.

11 febbraio 2023

28 gennaio, Giornata europea della Protezione di Dati

Giunta alla sedicesima edizione, la giornata europea della protezione dei dati ha lo scopo di sensibilizzare e promuovere l’importanza della privacy e della protezione dei dati.

La data scelta coincide con quella in cui cui la convenzione del Consiglio d’Europa per la protezione dei dati, nota come “Convenzione 108”; essa svolge un ruolo fondamentale nel diffondere il “modello europeo di protezione dei dati” a livello mondiale e viene utilizzata come fonte di ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata od armonizzare quelle già esistenti con gli standard internazionali.

Continua a leggere →

28 gennaio 2023

Valutazione impatto protezione dati

Il Garante per la privacy ha pubblicato le linee guida WP248 relative alla valutazione di impatto sulla protezione dei dati personali, al fine di poter capire quando e come effettuare l’analisi in commento.

Il Regolamento UE n. 679/2016, che sarà la nuova fonte normativa da maggio prossimo, impone cambiamenti sul piano del trattamento dei dati: dalla valutazione sul tipo di trattamento e sulle criticità che possono sussistere nella tutela degli stessi, alla contitolarità del trattamento, finanche alla portabilità dei dati automatizzati e, in alcune condizioni, l’obbligo di designazione di un Responsabile per la protezione dei dati (RDP, o acronimo inglese DPO cioè “Data Protection Officer”) che risponda all’esigenza di un monitoraggio continuo sulla sicurezza delle informazione raccolte e gestite dal titolare del trattamento. Nondimeno l’attenzione è rivolta all’enorme trattamento che circonda il mondo del web, pieno di insidie, con lo scopo di limitare gli abusi e far emergere il diritto dell’interessato (il cittadino, utente, cliente) ad un trattamento secondo principi di liceità, pertinenza, non eccedenza.

Per maggiori informazioni: