Uno degli adempimenti espressamente previsti dal GDPR che ha un impatto rilevante sia dal punto di vista organizzativo (definizione di policy), sia per gli interventi richiesti per l’adeguamento dei sistemi informativi, è quello legato alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione (o altro tipo di trattamento…) al termine di questi.
Il tempo di conservazione di un dato, la cui formalizzazione è presente in documenti quali l’informativa da rilasciare all’interessato ovvero nel registro delle attività di trattamento, è in genere legato alla finalità del trattamento.
In realtà il medesimo dato, se utilizzato per differenti finalità, potrebbe avere tempi di conservazione diversi, che devono pertanto essere opportunamente gestiti.
Già da questa considerazione, appare chiaro che la cancellazione effettiva del dato trattato per una determinata finalità, non sia l’unico intervento possibile o necessario al termine del tempo di conservazione dello stesso.
Se infatti il tempo di conservazione per la finalità A è di 5 anni e per la finalità B di 10 anni quello che il Titolare dovrà fare non sarà la cancellazione del dato trascorsi i primi 5 anni, ma impedire che lo stesso sia utilizzato per la prima finalità.
Dal punto di vista tecnico il tipo di intervento da mettere in atto sarà strettamente connesso all’architettura informatica ed alla organizzazione degli archivi del Titolare.
Se infatti lo stesso dato per la finalità A e per la finalità B è replicato in archivi diversi, si potrà effettivamente procedere alla cancellazione del dato nell’archivio relativo alla finalità A.
Se invece il dato è presente in un solo archivio, sarà necessario impedire il suo uso per la finalità A ad esempio revocando gli accessi ai soggetti/applicazioni che svolgono tale finalità.
Questo è solo uno dei possibili interventi che il Titolare potrà mettere in atto e del quale dovrà essere in grado di mostrare l’efficacia.
La determinazione dei tempi di conservazione può avvenire in base ad una normativa, o in base ad una valutazione del Titolare là dove una norma non esista. In questo secondo caso il Titolare dovrà giustificare i tempi di conservazione da lui determinati, riferendosi anche, là dove esistano, a provvedimenti dell’Autorità Garante su analoghe situazioni.
In talune situazioni il Titolare potrebbe decidere di estendere i tempi di conservazione oltre a quelli previsti dalla normativa, ad esempio per potersi difendere nel caso di future pretese rispetto ai soggetti interessati di cui tratta i dati.
Al riguardo il mondo bancario è particolarmente sensibile, anche perché in questo settore sono numerose le normative che regolano espressamente i tempi di conservazione.
Alcuni documenti (le normative solo raramente parlano di dati, per lo più parlano di documenti bancari) sono da conservare per 2, 5,10 anni dall’atto della loro formazione, mentre altri sono da conservare per 2, 5, 10 anni dall’atto della cessazione del rapporto.
Tutto chiaro dunque? Assolutamente no, in quanto nel tempo alcune sentenze dalla Cassazione hanno modificato radicalmente i parametri che teoricamente sembrano così chiari
Partiamo dalla data di prescrizione[1].
La data di decorrenza della prescrizione in linea generale coincide con la data di chiusura del rapporto creditizio. Ciò si desume dalle pronunce della Corte di Cassazione n. 2262 del 1984 e n. 10127 del 2005, secondo cui “il termine di prescrizione decennale per il reclamo delle somme trattenute dalla banca indebitamente a titolo di interessi su un’apertura di credito in conto corrente decorre dalla chiusura definitiva del rapporto, trattandosi di un contratto unitario che dà luogo ad un unico rapporto giuridico, anche se articolato in una pluralità di atti esecutivi, sicché è solo con la chiusura del conto che si stabiliscono definitivamente i crediti e i debiti delle parti tra loro”; le sentenze si riferiscono evidentemente ad una apertura di credito in conto corrente, ma stante il concetto di “contratto unitario” esse sono applicabili per estensione a qualunque tipo di contratto bancario.
La Corte di Cassazione (sentenza n. 24418 del 2010 ) ha in stabilito che la prescrizione decennale dell’azione di ripetizione da parte del cliente delle somme addebitate nei rapporti bancari inizia a decorrere dalla chiusura del rapporto per le rimesse ripristinatorie (eseguite cioè in presenza di un affidamento concesso e nei limiti dello stesso, quale ripristino della disponibiltà ottenuta con il fido), ed invece da ogni singolo addebito per le rimesse solutorie (eseguite cioè in assenza di affidamento o oltre l’affidamento concesso, in cui la rimessa ha l’effetto di estinguere il debito del cliente verso la banca).
La Corte di Cassazione ha in particolare stabilito che la prescrizione decennale dell’azione di ripetizione da parte del cliente delle somme addebitate nei rapporti bancari inizia a decorrere dalla chiusura del rapporto per le rimesse ripristinatorie (eseguite cioè in presenza di un affidamento concesso e nei limiti dello stesso, quale ripristino della disponibilità ottenuta con il fido), ed invece da ogni singolo addebito per le rimesse solutorie (eseguite cioè in assenza di affidamento o oltre l’affidamento concesso, in cui la rimessa ha l’effetto di estinguere il debito del cliente verso la banca).
Questa forma di abuso è stata drasticamente scoraggiata dalla sentenza n. 4518 del 2014 della stessa Cassazione, che pur ribadendo l’orientamento del 2010, ha stabilito che “i versamenti eseguiti su conto corrente, in corso di rapporto hanno normalmente funzione ripristinatoria della provvista e non determinano uno spostamento patrimoniale dal solvens all’accipiens. Tale funzione corrisponde allo schema causale tipico del contratto. Una diversa finalizzazione dei singoli versamenti (o di alcuni di essi) deve essere in concreto provata da parte di chi intende far decorrere la prescrizione dalle singole annotazioni […]. Nella specie non è stato mai né dedotta né allegata tale diversa destinazione dei versamenti in deroga all’ordinaria utilizzazione dello strumento contrattuale”.
In conseguenza di quanto sopra appare chiaro che i tempi di conservazione, ad esempio dei movimenti di un conto corrente, si dilatano a dismisura, in quanto diventa opportuno conservarli tutti, dall’atto dell’apertura del conto, fino a 10 anni dalla chiusura dello stesso.
Oltre alla mole di dati da conservare si pongono inoltre altri problemi.
Il primo riguarda l’applicabilità a tutti i conti correnti di tali indicazioni (con la conseguente conservazione estesa dei dati), in considerazione del fatto che all’atto dell’apertura del conto non è possibile sapere se lo stesso mai si troverà in una delle situazioni prima descritte.
Il secondo aspetto riguarda l’ampiezza delle informazioni che è necessario e lecito conservare (ad esempio ha senso di un movimento conservare la causale o è sufficiente per la finalità prefissata conservare importo e data?)
Le analisi da compiere e le decisioni che si devono assumere per determinare effettivamente cosa conservare e per quanto tempo sono quindi articolate e complesse.
Il caso bancario è emblematico, ma potrebbero esserci situazioni analoghe per altre categorie di Titolari.
Ulteriori problematiche si pongono inoltre in conseguenza della crescente dematerializzazione (non va infatti dimenticato che la distruzione dei dati non riguarda solo la loro istanza in formato elettronico) ed alla conseguente eliminazione della carta…, ma di questo parleremo in un altro post.
[1] Approfondimento effettuato in collaborazione con l’Avv. Maria Roberta Perugini e la dott. Maria Tusa