L’HR e la data retention

Il periodo di conservazione dei dati nel settore aziendale delle risorse umane

Un argomento ad oggi molto “caldo” nel settore della data protection è sicuramente quello della data retention, ossia il periodo di conservazione dei dati, rivisitato e meglio analizzato alla luce della nuova disciplina europea. Il concetto viene espresso con chiarezza e riportato nei vari articoli che compongono il Regolamento (UE) 2016/679, partendo dall’articolo 5, che enuncia i principi a cui l’intero strumento normativo comunitario si ispira, tra cui la c.d. limitazione della conservazione.

Essa comporta la necessità di trattare il dato “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, aggiungendo inoltre che “i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”. Non è un caso che tale principio sia stato inserito all’interno di questo articolo, a fianco di criteri guida quali, a titolo esemplificativo, la minimizzazione e la responsabilizzazione, che sottendono l’impianto stesso del Regolamento costituendone il motore.

Scorrendo le pagine del GDPR si incontra tale concetto nell’informativa che viene resa all’interessato da parte del titolare del trattamento, nella quale vengono elencati gli elementi che sono indispensabili ai fini di una corretta comunicazione fra i due soggetti. Tanto quando i dati sono raccolti presso il diretto interessato, tanto quando sono raccolti presso terzi, rispettivamente ex art. 13 e 14 del suddetto Regolamento, il periodo di conservazione, o quanto meno, il criterio utilizzato in grado di poterlo determinare, è indispensabile per rendere il data controller effettivamente compliant alla normativa vigente.

Anche nell’ambito dell’esercizio del diritto di accesso, ai sensi dell’art. 15 del GDPR, viene sancito che lo stesso rientra tra gli elementi che l’interessato è in grado di ottenere al fine di avere “conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali”.

Inoltre il periodo di conservazione costituisce uno degli strumenti che devono essere costantemente monitorati dal titolare, in quanto costituente parte integrante, se attuato ovviamente in modo corretto, del sistema di privacy by default, ex art. 32 del GDPR. Tale articolo si manifesta infatti come una delle disposizioni chiave dell’intera disciplina sul trattamento dei dati, descrivendo al primo paragrafo il concetto di privacy fin dalla progettazione, e al secondo quello di privacy per impostazione predefinita, di cui per l’appunto il periodo di conservazione rappresenta uno degli elementi del quadro complessivo. Trattare il dato, anche solo conservarlo, per un periodo di tempo eccedente quelle che sono le ragioni per la quale è stato acquisito, corrisponde ad una violazione del Regolamento, che in termini di sanzione può arrivare “fino a 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Una concreta applicazione dello stesso ha riguardato da vicino un settore fondamentale per le aziende, ossia quello delle risorse umane, che detengono banche dati spesso imponenti, soprattutto se trattasi di aziende come multinazionali, se non addirittura i c.d. OTT, e che inevitabilmente si sono scontrati con gli obblighi normativi. Infatti gli operatori del settore hanno a che fare quotidianamente con Curriculum Vitae di candidati che vengono ad oggi acquisiti in forma elettronica e confluiscono all’interno di database. L’aumento del rischio di attacchi informatici nel corso degli ultimi anni ha messo in luce quanta cautela sia necessaria nell’acquisire e detenere una quantità massiva di dati, aspetto che si ricollega strettamente con quello della conservazione del dato stesso, il quale, una volta terminata la finalità per cui era stato ottenuto, cessa, o per lo meno dovrebbe cessare, di esistere.  Ma chi stabilisce le finalità? Per definizione, ex art. 4 del GDPR, essa è in capo al titolare del trattamento, che in quanto process-owner, è a conoscenza del flusso dei dati e pertanto della sorte dello stesso, dalla “nascita” alla “morte”. Sarà lui che, a fronte delle attività cui è preposto o a cui ha preposto una determinata Direzione o Unità Organizzativa nella sua azienda, manterrà il dato “attivo”. Ma ritornando agli HR Manager, i quali, come process-owner delle procedure di candidatura degli interessati si trovano a determinare il loro periodo di conservazione, quale giusta sorte dovrebbero riservare a tali dati? La tendenza ad oggi è quella di stabilire l’arco temporale attorno ai 12 mesi, ma ciò non senza riserve. Questo perchè, da un lato la creazione delle banche dati ha un certo costo dal punto di vista economico, oltre che di fatica e lavoro, e dall’altro è nell’interesse dello stesso candidato che invia il CV o che risponde ad un’offerta di lavoro, fare in modo che i suoi dati rimangano all’interno dell’azienda, che può richiamarlo successivamente, anche eventualmente per altre posizioni.

Il bilanciamento tra le varie esigenze che intercorrono rappresenta e continua a rappresentare il dinamismo continuo su cui il diritto alla privacy si muove e progredisce, ferma restando l’esigenza di una responsabilizzazione sempre più intensa in capo al titolare, che ha il dovere di dotarsi delle misure organizzative e tecniche più adeguate rispetto ai trattamenti posti in essere.

Articolo di
Dott.ssa Chiara Romeo – Data Protection Specialist