1. I dati personali sono:<\/p>\n\n\n\n
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (” liceit\u00e0, correttezza e trasparenza<\/em> “);<\/p>\n\n\n\n (b) raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi; l’ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non \u00e8, ai sensi dell’articolo 89, paragrafo 1<\/a> , considerato incompatibile con le finalit\u00e0 iniziali (” limitazione delle finalit\u00e0<\/em> “);<\/p>\n\n\n\n (c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalit\u00e0 per le quali sono trattati (\u201c minimizzazione dei dati<\/em> \u201d);<\/p>\n\n\n\n (d) esatti e, se necessario, aggiornati; deve essere adottata ogni misura ragionevole per garantire che i dati personali inesatti rispetto alle finalit\u00e0 per le quali sono trattati siano cancellati o rettificati senza ritardo (” esattezza<\/em> “);<\/p>\n\n\n\n (e) conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati; i dati personali possono essere conservati per periodi pi\u00f9 lunghi purch\u00e9 siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ai sensi dell’articolo 89, paragrafo 1, previa attuazione delle adeguate misure tecniche e organizzative. misure richieste dal presente Regolamento al fine di salvaguardare i diritti e le libert\u00e0 dell’interessato (\u201c limitazione della conservazione<\/em> \u201d);<\/p>\n\n\n\n (f) trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro trattamenti non autorizzati o illegali e contro la perdita, la distruzione o il danneggiamento accidentali, utilizzando misure tecniche o organizzative adeguate (“integrit\u00e0 e riservatezza” )<\/em> .;<\/p>\n\n\n\n 2. Il responsabile del trattamento \u00e8 responsabile ed \u00e8 in grado di dimostrare il rispetto del paragrafo 1 (” responsabilit\u00e0<\/em> “).<\/p>\n\n\n\n Nel panorama della protezione dei dati, l’articolo 5, paragrafo 1, lettera e) del Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta una pietra miliare nella definizione dei principi relativi alla limitazione della conservazione dei dati personali. <\/p>\n\n\n\n L’articolo 5 del Regolamento Generale sulla Protezione dei Dati (RGPD) stabilisce che i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalit\u00e0 sottese al trattamento. <\/p>\n\n\n\n Il principio di limitazione della conservazione non solo fissa un limite temporale al trattamento, ma richiede che il titolare del trattamento definisca internamente un periodo di conservazione prima che il trattamento abbia inizio. <\/p>\n\n\n\n Tale periodo di conservazione non deve necessariamente corrispondere a un periodo di tempo specifico, ma anche qualora il titolare del trattamento non sia in grado di prevedere con precisione in anticipo la durata del trattamento, deve verificare regolarmente se il trattamento continua ad essere necessario. <\/p>\n\n\n\n In altre parole, i dati personali devono essere eliminati o resi anonimi non appena non sono pi\u00f9 necessari per il loro scopo originario.<\/p>\n\n\n\n Questo principio, noto come “limitazione della conservazione<\/strong>“, mira a garantire che i dati non siano tenuti per periodi pi\u00f9 lunghi del necessario, in linea con le esigenze di minimizzazione e proporzionalit\u00e0 che sono cardine del GDPR.<\/p>\n\n\n\n Il fulcro di questa disposizione \u00e8 il legame inscindibile tra la durata della conservazione dei dati e le finalit\u00e0 per cui sono stati raccolti. <\/p>\n\n\n\n I responsabili del trattamento devono dunque valutare con attenzione per quanto tempo \u00e8 realmente necessario mantenere i dati personali, in relazione agli scopi per cui sono stati inizialmente raccolti. <\/p>\n\n\n\n Una volta che tali scopi sono stati soddisfatti, i dati dovrebbero essere cancellati o resi anonimi.<\/p>\n\n\n\n Tuttavia, il GDPR riconosce che ci possono essere circostanze legittime per mantenere i dati personali oltre il conseguimento delle finalit\u00e0 iniziali. Queste eccezioni comprendono la conservazione per fini di archiviazione nel pubblico interesse<\/strong>, ricerca scientifica<\/strong> o storica<\/strong>, o per scopi statistici<\/strong>. <\/p>\n\n\n\n 1. Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici<\/strong> \u00e8 soggetto a garanzie adeguate per i diritti e le libert\u00e0 dell’interessato, in conformit\u00e0 del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purch\u00e9 le finalit\u00e0 in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta pi\u00f9 di identificare l’interessato, tali finalit\u00e0 devono essere conseguite in tal modo.<\/p>\n\n\n\n 2. Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici<\/strong>, il diritto dell’Unione o degli Stati membri pu\u00f2 prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalit\u00e0 specifiche e tali deroghe sono necessarie al conseguimento di dette finalit\u00e0.<\/p>\n\n\n\n 3. Se i dati personali sono trattati per finalit\u00e0 di archiviazione nel pubblico interesse,<\/strong> il diritto dell’Unione o degli Stati membri pu\u00f2 prevedere deroghe ai diritti di cui agli articoli 15, 16, 18, 19, 20 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalit\u00e0 specifiche e tali deroghe sono necessarie al conseguimento di dette finalit\u00e0.<\/p>\n\n\n\n 4. Qualora il trattamento di cui ai paragrafi 2 e 3 funga allo stesso tempo a un altro scopo, le deroghe si applicano solo al trattamento per le finalit\u00e0 di cui ai medesimi paragrafi.<\/p>\n\n\n\n <\/a><\/p>\n\n\n\n In questi casi, l’articolo 89, paragrafo 1, prescrive che tale conservazione deve essere effettuata nel rispetto delle adeguate garanzie per i diritti e le libert\u00e0 degli interessati.<\/p>\n\n\n\n L’adeguatezza delle garanzie deve essere valutata ragionevolmente in relazione alle caratteristiche del caso concreto e deve prevedere l’attuazione di misure tecniche e organizzative adeguate alla tutela dei diritti e delle libert\u00e0 degli interessati. <\/p>\n\n\n\n Questo significa che, ad esempio, i dati personali conservati per fini di ricerca scientifica devono essere anonimizzati o pseudonimizzati e protetti da accessi non autorizzati.<\/p>\n\n\n\n Inoltre, la conservazione dei dati personali deve essere limitata nel tempo e non deve superare quello strettamente necessario per il raggiungimento delle finalit\u00e0 per cui sono stati raccolti.<\/p>\n\n\n\n In sintesi, la conservazione dei dati personali \u00e8 lecita solo se avviene nel rispetto dei principi di necessit\u00e0 e proporzionalit\u00e0 e delle garanzie previste dal GDPR. Gli interessati hanno il diritto di essere informati sulla durata della conservazione dei loro dati personali e di esercitare i loro diritti previsti dal GDPR in caso di violazione di tali regole.<\/p>\n\n\n\n Qualsiasi trattamento dei dati personali dovrebbe essere lecito<\/strong> e corretto<\/strong>. <\/p>\n\n\n\n Dovrebbe essere trasparente per le persone fisiche che i dati personali che le riguardano sono raccolti, utilizzati, consultati o altrimenti trattati e in che misura i dati personali sono o saranno trattati. <\/p>\n\n\n\n Il principio di trasparenza richiede che qualsiasi informazione e comunicazione relativa al trattamento di tali dati personali sia facilmente accessibile e comprensibile e che sia utilizzato un linguaggio chiaro e semplice. <\/strong><\/p>\n\n\n\n Tale principio riguarda, in particolare, l’informazione agli interessati sull’identit\u00e0 del titolare e sulle finalit\u00e0 del trattamento e ulteriori informazioni volte a garantire un trattamento corretto e trasparente nei confronti delle persone fisiche interessate e il loro diritto ad ottenere la conferma e la comunicazione dei propri dati personali. dati che li riguardano oggetto di trattamento. <\/p>\n\n\n\n Le persone fisiche dovrebbero essere informate dei rischi, delle norme, delle garanzie e dei diritti in relazione al trattamento dei dati personali e di come esercitare i propri diritti in relazione a tale trattamento. <\/p>\n\n\n\n In particolare, le finalit\u00e0 specifiche per le quali i dati personali sono trattati dovrebbero essere esplicite e legittime e determinate al momento della raccolta dei dati personali. <\/p>\n\n\n\n I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per gli scopi per i quali sono trattati. <\/p>\n\n\n\n Ci\u00f2 richiede, in particolare, di garantire che il periodo di conservazione dei dati personali sia limitato al minimo indispensabile. <\/strong><\/p>\n\n\n\n I dati personali dovrebbero essere trattati solo se lo scopo del trattamento non pu\u00f2 ragionevolmente essere raggiunto con altri mezzi. <\/p>\n\n\n\n Al fine di garantire che i dati personali non siano conservati pi\u00f9 del necessario, il titolare del trattamento dovrebbe stabilire termini temporali per la cancellazione o per la revisione periodica. <\/strong><\/p>\n\n\n\n Dovrebbe essere adottata ogni misura ragionevole per garantire che i dati personali inesatti siano rettificati o cancellati. <\/p>\n\n\n\n I dati personali dovrebbero essere trattati in modo da garantire un’adeguata sicurezza e riservatezza dei dati personali, anche per impedire l’accesso o l’uso non autorizzato dei dati personali e delle apparecchiature utilizzate per il trattamento.<\/p>\n\n\n\n Nella giurisprudenza europea, la Corte di Giustizia dell’Unione Europea (CJUE) ha svolto un ruolo chiave nello sviluppo e nel rafforzamento di questo principio. In particolare, due importanti sentenze della CJUE hanno contribuito a delineare i limiti della conservazione dei dati personali: <\/p>\n\n\n\n La sentenza Digital Rights Ireland ha stabilito che la conservazione indiscriminata e generalizzata dei dati personali \u00e8 incompatibile con i principi di necessit\u00e0 e proporzionalit\u00e0, violando cos\u00ec i diritti fondamentali alla privacy e alla protezione dei dati delle persone interessate.<\/p>\n\n\n\n Successivamente, la sentenza Tele2 e Watson ha confermato e rafforzato il principio di limitazione della conservazione stabilendo che la conservazione dei dati di traffico e delle comunicazioni elettroniche pu\u00f2 essere giustificata solo in presenza di una minaccia grave per la sicurezza nazionale o per la lotta alla criminalit\u00e0 grave, e solo se tale conservazione \u00e8 soggetta a rigorose garanzie procedurali e di controllo.<\/p>\n\n\n\n <\/p>\n\n\n\n il GPDP, con provv. 11.1.2023, n. 12<\/a>, ha sanzionato una societ\u00e0 di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utente), senza espresso consenso degli interessati. <\/p>\n\n\n\n Tra i contenuti dei messaggi, consistenti per lo pi\u00f9 in comunicazioni di servizio, vi erano anche password (OTP), credenziali e dati appartenenti alle categorie particolari. <\/p>\n\n\n\n Il Garante, a tal riguardo, ha sostenuto che non sussiste un presupposto giuridico in merito all\u2019obbligo di conservazione e, di conseguenza, \u00e8 necessario raccogliere il consenso libero e specifico per tale trattamento<\/strong>. <\/p>\n\n\n\n Ancora, il GPDP, con il provv. 27.4.2023, n. 188, ha sanzionato una societ\u00e0 (BENETTON) per aver trattato illecitamente i dati personali di un numero rilevante di clienti e di ex clienti, senza limiti temporali di conservazione in relazione alle finalit\u00e0 di marketing e di profilazione. <\/p>\n\n\n\n Nello specifico, l\u2019Autorit\u00e0 ha rilevato che la societ\u00e0 conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti.<\/p>\n\n\n\n Nell’ambito dell’installazione di impianti di videosorveglianza, il tema della minimizzazione e della limitazione della conservazione dei dati assume un ruolo di grande importanza. <\/p>\n\n\n\n A tale proposito, le “Linee guida 3\/2019 sul trattamento dei dati personali attraverso dispositivi video” adottate dal Comitato europeo per la protezione dei dati (EDPB) il 29 gennaio 2020 e le FAQ sulla videosorveglianza del Garante del 5 dicembre 2020 forniscono importanti indicazioni in merito.<\/p>\n\n\n\n Le linee guida del EDPB chiariscono che l’attivit\u00e0 di videosorveglianza deve essere condotta nel rispetto del principio di minimizzazione<\/strong> dei dati. <\/p>\n\n\n\n Ci\u00f2 implica che il titolare del trattamento deve scegliere modalit\u00e0 di ripresa e dislocazione dell’impianto che riducano al minimo la raccolta di dati personali. <\/p>\n\n\n\n Inoltre, i tempi di conservazione dei dati <\/strong>devono essere determinati in base al contesto e alle finalit\u00e0 del trattamento, nonch\u00e9 al rischio per i diritti e le libert\u00e0 delle persone interessate. <\/p>\n\n\n\n Salvo specifiche norme di legge che prevedano durate determinate, spetta al titolare del trattamento argomentare in maniera articolata ed esaustiva la necessit\u00e0 di conservare i dati per periodi pi\u00f9 lunghi.<\/p>\n\n\n\n Secondo le FAQ del Garante, i dati personali raccolti tramite videosorveglianza dovrebbero essere cancellati dopo pochi giorni, a meno che il titolare del trattamento non fornisca una giustificazione valida e documentata per una conservazione pi\u00f9 prolungata. Tale giustificazione dovrebbe tenere conto delle finalit\u00e0 del trattamento, del contesto specifico e dei rischi per i diritti e le libert\u00e0 delle persone interessate.<\/p>\n\n\n\n Jacque \u00e8 un fisioterapista. Secondo la legge applicabile, Jacque deve conservare tutte le informazioni rilevanti ai fini fiscali per sette anni. <\/p>\n\n\n\n Le leggi sugli operatori sanitari gli impongono di conservare la documentazione del paziente per due anni. In caso di mancato pagamento il termine di prescrizione \u00e8 di tre anni. <\/p>\n\n\n\n Una volta scadute queste tempistiche, Jacque cancella tutti i dati personali. Il suo software di documentazione del paziente cancella automaticamente le informazioni dopo un periodo prestabilito. <\/p>\n\n\n\n Fa le sue finanze in un grande foglio di calcolo. Qui deve eliminare manualmente le informazioni. A Jacque piacciono anche i numeri e le statistiche, quindi conserva ancora tutte le statistiche sui suoi redditi o le statistiche sui casi di garanzia degli ultimi vent’anni, ma ha rimosso i dati personali in essi contenuti per conformarsi all’articolo 5, paragrafo 1, lettera e).<\/p>\n\n\n\n Non \u00e8 sufficiente che il titolare del trattamento si attenga al periodo di conservazione che ha deciso in anticipo o a quello che ha informato l\u2019interessato, il titolare del trattamento deve essere in grado di dimostrare che i dati personali sono conservati solo per il tempo necessario alla finalit\u00e0 per le quali sono stati raccolti o per le quali sono stati successivamente trattati.<\/em><\/p>\n\n\n\n Il GDPR impone al titolare del trattamento il dovere attivo [<\/a><\/sup>di cancellare i dati senza dover attendere un’azione da parte dell’interessato (ad esempio ai sensi dell’articolo 17 GDPR<\/a> ). Il titolare deve cancellare in modo proattivo le informazioni. In pratica, il principio prevede che il titolare del trattamento attui pratiche di cancellazione o sistemi di cancellazione automatica.<\/p>\n\n\n\n Il tempo entro il quale deve essere eseguita l’eventuale cancellazione dipende dallo scopo. <\/p>\n\n\n\n In molti casi esistono scadenze legali fisse, come gli obblighi di tenuta dei registri o i termini di prescrizione che determinano la necessit\u00e0 di conservare i dati. <\/p>\n\n\n\n In altri casi, il termine dipende da altri elementi fattuali (ad esempio quando un cliente recede da un contratto) che rendono il trattamento continuato irrilevante ai fini. <\/p>\n\n\n\n Ci sono anche casi in cui non esiste un numero chiaro di giorni per conservare le informazioni. Poich\u00e9 non esiste un termine generale, il titolare del trattamento deve effettuare un\u2019analisi fattuale caso per caso.<\/p>\n\n\n\n Conservazione e trattamento dei dati personali oltre il conseguimento delle finalit\u00e0 inizialmente stabilite sono possibili anche nella misura in cui il titolare del trattamento abbia svolto con esito positivo un test di compatibilit\u00e0 tra le finalit\u00e0 iniziali e i trattamenti ulteriori (serve ovviamente l’informativa)<\/p>\n\n\n\n Inoltre, i dati personali possono continuare ad essere conservati in ogni caso in forma anonimizzata, che non consenta quindi l\u2019identificazione degli interessati, a condizione che la tecnica di anonimizzazione impiegata sia efficace e irreversibile, ossia che dai dati definitivamente anonimizzati non si possa pi\u00f9 risalire all\u2019identit\u00e0 degli interessati cui tali dati si riferiscono. <\/p>\n\n\n\n In tale contesto, \u00e8 importante sottolineare che, secondo la posizione del Garante Privacy, l\u2019anonimizzazione \u00e8 una forma di trattamento di dati personali che quindi dovr\u00e0 essere elencata nell\u2019informativa sul trattamento dei dati personali ed avere una propria base giuridica che la legittimi.<\/p>\n\n\n\n Al fine di poter attuare efficacemente il principio di limitazione della conservazione, ogni titolare del trattamento dovrebbe adottare una policy interna sulla conservazione dei dati o \u201cdata retention\u201d. <\/p>\n\n\n\n La policy in questione consente al titolare di stabilire e documentare i diversi periodi di conservazione dei dati con riferimento a ciascuna finalit\u00e0, in conformit\u00e0 al principio di responsabilizzazione o accountability. <\/p>\n\n\n\n In questo modo, il titolare dovrebbe essere in grado di procedere alla cancellazione o anonimizzazione dei dati laddove le finalit\u00e0 del trattamento siano state conseguite e di documentare gli eventuali trattamenti ulteriori ritenuti compatibili con le finalit\u00e0 iniziali. <\/p>\n\n\n\n La policy sulla conservazione non va intesa come un documento statico, bens\u00ec come uno strumento operativo da mantenere continuamente aggiornato.<\/p>\n\n\n\n Il principio di limitazione della conservazione impone un limite temporale a qualsiasi operazione di trattamento, il che costituisce una sorta di \u201cminimizzazione dei dati\u201d in una dimensione temporale. Articolo 5 – Principi relativi al trattamento dei dati personali 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (” liceit\u00e0, […]<\/p>\n","protected":false},"author":2,"featured_media":4445,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[259,262,59,60],"class_list":["post-4444","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio","tag-conservazione","tag-durata","tag-gdpr","tag-privacy"],"yoast_head":"\nLa Conservazione dei Dati alla Luce del Regolamento Generale sulla Protezione dei Dati (GDPR)<\/strong><\/h3>\n\n\n\n
Finalit\u00e0 del Trattamento e Conservazione<\/strong><\/h3>\n\n\n\n
Eccezioni alla Regola<\/strong><\/h3>\n\n\n\n
Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici<\/h4>\n\n\n\n
Considerando 39<\/strong> Principi di trattamento dei dati <\/h3>\n\n\n\n
Un dibattito interessante nella giurisprudenza della Corte di Giustizia EU<\/h3>\n\n\n\n
la sentenza Digital Rights Ireland del 2014 e la sentenza Tele2 e Watson del 2016.<\/h4>\n\n\n\n
Il provvedimento del Garante Italiano della protezione dei dati personali<\/h4>\n\n\n\n
Minimizzazione e conservazione dei dati personali nei sistemi di videosorveglianza<\/strong><\/h3>\n\n\n\n
Linee guida 3\/2019 <\/h4>\n\n\n\n
Le FAQ sulla videosorveglianza del Garante<\/h4>\n\n\n\n
Esempiomodificare<\/a>modifica fonte<\/a><\/h4>\n\n\n\n
Come deve comportarsi il titolare?<\/h3>\n\n\n\n
Come determinare il limite temporale?<\/h4>\n\n\n\n
Conservazione oltre il conseguimento delle finalit\u00e0 <\/h3>\n\n\n\n
Policy sulla conservazione o \u201cdata retention\u201d <\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/11\/0D5DC80B-DD15-443A-8BDE-A33F31965E62-1-702x1024.jpeg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/11\/avv.-bozzo-1-1024x576.jpg\")
<\/figure>\n","protected":false},"excerpt":{"rendered":"