- più di 28 milioni di clienti membri del programma fedeltà erano conservati sebbene inattivi da cinque a dieci anni,
- oltre 750.000 utenti del sito carrefour.fr, erano invece conservati, sebbene inattivi, dai cinque a dieci anni,
- per quasi 20.000 utenti l’ultimo acquisto era risalente addirittura risalente a oltre dieci anni prima.
La Commissione ha anche contestato la conservazione, per un periodo variabile tra uno e sei anni, dei documenti di identità richiesti agli interessati nell’esercizio di un diritto. In proposito è stato osservato che una volta accolta la richiesta, la società non avesse più bisogno di conservare copia del documento di identità del richiedente. L’unico scopo di fornire questo documento era quello di giustificare l’identità della persona che effettuava la richiesta per cui non era necessario conservarlo una volta che l’identità fosse stata confermata. Al fine di dimostrare di aver effettivamente accolto la richiesta, la società avrebbe potuto realizzare, a fini contenziosi, un’archiviazione intermedia (data base separato), conservando solo la lettera di risposta favorevole. Detta precauzione è stata indicata dal CNIL anche nel caso della Sergic che aveva addirittura tenuto in “base attiva”, senza limitazione di durata, tutti i documenti trasmessi dai candidati che non avevano aderito all’affitto oltre la durata necessaria per l’assegnazione dell’alloggio.
In sede di quantificazione delle sanzioni la Commissione ha tenuto presente i criteri indicati nell’art. 83 del GDPR con particolare riferimento alla natura, gravità e durata della violazione. In questo caso la fattispecie si è caratterizzata per l’elevato numero dei dati personali e per i lunghi periodi di conservazione degli stessi. Per quanto riguarda il numero di persone interessate, questo criterio consente di considerare come un’aggravante il fatto che l’illecita conservazione abbia riguardato diversi milioni di persone. Di contro il limitato danno provocato agli interessanti, la collaborazione della società durante tutto il procedimento sanzionatorio e gli sforzi significativi compiuti al fine di raggiungere la successiva piena conformità, sono stati giudicati come fattori attenuati della gravità delle condotte.
- la mancata valutazione privacy by design non permette di “costruire” processi di lavoro in grado di tenere sotto costante controllo i differenti termini di conservazione dei trattamenti né di implementare procedure per la distruzione/cancellazione selettiva;
- una data retention policy carente può determinare grossi problemi nelle organizzazioni complesse e ramificate sul territorio in quanto lo storage, cartaceo o digitale, di milioni di dati potrebbe non essere assistito da una puntuale conoscenza degli applicativi o degli archivi presso cui fisicamente si trovano i dati (storici o correnti);
- la conservazione, per anni, di milioni di dati, se non assistita da un aggiornato inventario degli archivi, può rendere oltremodo difficile dare attuazione ai diritti degli interessati. I tempi di elaborazione delle richieste e delle risposte potrebbero allungarsi in modo eccedente ai 30 gg canonici. Analogamente le risposte agli interessati potrebbero non essere corrette, proprio perché non si sa con esattezza dove i dati si trovino e chi ne abbia la disponibilità;
- le informative privacy, ex art. 13/14 del GDPR, e i contenuti del registro dei trattamenti potrebbero riportare dati non corretti. Capita spesso, infatti, che i termini di conservazione formalmente comunicati agli interessati o riportati nell’apposito registro ex art. 30 del GDPR, non risultino allineati con la reale operatività dell’azienda.
Per chi fosse interessato può leggere i richiamati provvedimenti del CNIL ai seguenti indirizzi:
Dott. Gaetano Mastropierro
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma
Dott. Alfredo Sanfelice
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma