Interruzione ed eliminazione di un trattamento di dati personali secondo il principio della 'Privacy by Design'
L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi:
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')
- l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento
- l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento
Le due attività possono coincidere, ad esempio nel caso in cui il Titolare decida di non pubblicare più una newsletter, per cui interromperà la raccolta delle adesioni alla newsletter ed eliminerà contestualmente i dati di coloro che la ricevevano, eventualmente previa comunicazione; oppure, interruzione ed eliminazione possono avvenire in momenti differenti, a distanza di tempo, come nel caso in cui il Titolare non abbia più necessità di raccogliere il casellario giudiziale dei propri dipendenti perché è cambiata la normativa che lo imponeva, ma deve comunque conservare per un certo periodo di tempo il casellario giudiziale dei dipendenti in essere.
Alla luce di ciò è opportuno, soprattutto in realtà complesse, definire una procedura che descriva anche le modalità e responsabilità per la gestione delle due fasi, il che diventa anche criterio in fase di audit.
Quello che segue è un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO supportato dal Privacy Officer.
Ovviamente, come tutti gli esempi, dovrà essere integrato e adeguato al contesto specifico delle singole realtà, e non ha alcuna pretesa di essere esaustivo.
L’eliminazione di un trattamento avviene quindi in due step:
1. interruzione del trattamento, ovvero sospensione della raccolta dei dati relativi al trattamento;
2. eliminazione del trattamento, ovvero dei documenti – cartacei e/o elettronici - che contengono dati relativi al trattamento.
Step 1: prende avvio dopo che il Titolare ha valutato di interrompere l’acquisizione di nuovi dati degli interessati già presenti nei propri archivi, o l’acquisizione dei dati relativi a nuovi interessati. (In alcuni casi l’interruzione potrebbe essere momentanea e riprendere dopo un periodo di sospensione).
Il Titolare si trova quindi a trattare solo dati già presenti negli archivi, fino alla loro eliminazione definitiva, secondo la tempistica indicata nel Registro e comunicata agli interessati tramite l’informativa
Step 2: si concretizza quanto il Titolare elimina in modo definitivo i dati degli interessati; tale attività può essere contestuale allo step 1 o avvenire a distanza di tempo
Le fasi previste dallo step 1, in seguito alla decisione del trattamento, a carico del Titolare, coadiuvato dal Privacy Officer, sono:
- comunica al DPO la decisione di interruzione del trattamento (vedi flussi verso il DPO);
- informa gli autorizzati a trattare i dati, circa la decisione di sospendere il trattamento stesso;
- blocca l’accesso da parte degli autorizzati ai dati degli interessati, con l’esclusione di quelli necessari per poter dare riscontro ad una eventuale richiesta di esercizio dei diritti;
- aggiorna il Registro dei Trattamenti indicando che il trattamento è sospeso;
- ritira tutta la documentazione (es. modelli di informative) afferenti al trattamento;
- valuta se sono in essere misure relative al trattamento che non sono più necessarie e nel caso le elimina;
- valuta se sono in essere procedure – o parti di procedure - relative al trattamento che sono da modificare, nel qual caso procede alla loro modifica/eliminazione;
- aggiorna il Modello Organizzativo Privacy (MOP) indicando l’interruzione del trattamento.
Nell’intervallo di tempo (se previsto) tra lo step 1 e lo step 2 il Titolare deve dare riscontro agli interessati, quando ciò è applicabile, ad eventuali richieste dell’esercizio dei loro diritti.
Le fasi previste dallo step 2, a carico del Titolare, coadiuvato dal Privacy Officer, sono:
- comunica al DPO la decisione dell’eliminazione del trattamento (vedi flussi verso il DPO);
- incarica gli autorizzati dell’eliminazione dei dati afferenti al trattamento, considerando che le modalità di trattamento saranno, di norma, quelle definite nel Registro dei Trattamenti;
- se del caso mette a punto procedure specifiche per l’eliminazione dei dati (ad esempi nel caso di grandi quantità di dati da eliminare), coinvolgendo ed incaricando, se opportuno, anche fornitori nel ruolo di Responsabili del trattamento;
- procede all’eliminazione dei dati afferenti al trattamento;
- redige un verbale dell’eliminazione del Trattamento e lo conserva nella documentazione afferente alla protezione dei dati;
- aggiorna il Registro dei Trattamenti eliminando il Trattamento;
- valuta se sono in essere misure relative al Trattamento che non sono più necessarie, e in quel caso le elimina;
- valuta se sono in essere procedure - o parti di procedure - relative al Trattamento che sono da eliminare; nel qual caso procede alla loro eliminazione;
- aggiorna il MOP indicando l’eliminazione del trattamento.
A valle dello step 2 il Titolare deve, a seguito dell’eventuale richiesta di un interessato per l’esercizio di un diritto, specificare che il trattamento è stato eliminato ed il Titolare non è più in possesso di alcun dato relativo all’interessato. Qualora ciò non si rivelasse esatto (a seguito ad esempio di prove fornite dall’interessato o indagini interne), il Titolare deve:
- analizzare il caso;
- rimuovere i dati eccedenti relativi all’interessato;
- comprendere se possono essere disponibili dati di altri interessati, relativi al trattamento in oggetto e in quel caso eliminarli;
- comprendere le cause dell’errore e rimuoverle (azione correttiva) affinché non si ripresentino.
L’esempio di procedura riportata - che potrebbe essere resa ulteriormente complessa a seconda del contesto in cui opera l’organizzazione, prevedendo, ad esempio, anche comunicazioni mirate agli interessati - permette di comprendere la complessità intrinseca di questa fase del processo di ciclo di vita del trattamento, che è spesso trascurata. Ciò mette in luce che quanto afferisce alla protezione dei dati ha sempre un livello di complessità maggiore di quanto apparentemente possa risultare.