Uno dei temi che devono essere di interesse comune e non specialistico è quello della Data retention, ossia della conservazione dei dati. Il 6 ottobre 2020, la Corte di giustizia dell’Unione europea, con il  comunicato Stampa n. 123/20, ha confermato che la legislazione nazionale, che richiede al fornitore di dati informazioni sul traffico e sulla posizione al fine di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale, osta con il diritto dell’Unione.

La stessa Corte di giustizia, lo scorso 5 aprile, ha ribadito ancora una volta che la conservazione generalizzata e indiscriminata dei dati sul traffico telefonico e telematico è incompatibile con la disciplina europea in materia di privacy nelle comunicazioni elettroniche. Ma perché si è pronunciata la Corte di giustizia? Lo ha fatto a seguito del duplice ricorso di un cittadino irlandese condannato per omicidio, che si rivolse alla Corte d’appello irlandese sostenendo che i dati di traffico e di localizzazione delle sue telefonate fossero stati impropriamente ammessi come prova al processo.

Dunque la Corte di giustizia europea ha ribadito che i governi degli Stati membri non possono permettere la “conservazione generale e indiscriminata” dei dati di traffico e di localizzazione delle comunicazioni elettroniche”. In generale i dati dovrebbero essere conservati per il tempo necessario a indirizzare la comunicazione e consentire la fatturazione, ivi comprese le eventuali contestazioni. Poi devono essere cancellati. Questa non è la prima sentenza in materia, perché agli operatori telefonici viene richiesto di conservare i dati per molti anni, il che confligge anche con gli articoli 7 (Rispetto della vita privata e della vita familiare) e 8 (Protezione dei dati di carattere personale) della Carta dei diritti fondamentali dell’Unione europea.

Secondo i giudici della Corte la Direttiva europea del 2006, relativa alla vita privata e alle comunicazioni elettroniche, se letta in combinato disposto con i diritti derivanti dalla Carta dei diritti fondamentali, stabilisce infatti anche un divieto della memorizzazione dei dati relativi al traffico e all'ubicazione. Oltre a vietare ogni ingerenza, intercettazione e sorveglianza nelle comunicazioni elettroniche. È vero che agli Stati membri è consentito derogare a tale regola generale in casi specifici, che vanno però interpretati restrittivamente con i limiti derivanti dal principio di proporzionalità anche rispetto alla tipologia di crimini da perseguirsi.

Già con la pronuncia della Corte di giustizia Ue, Grande Sezione del 2 marzo 2021 (causa C-746/18) nel caso H.K., tutti gli ordinamenti nazionali sono stati "costretti" a adeguarsi e conformarsi al principio di proporzionalità, in base al quale soltanto le forme gravi di criminalità e la prevenzione alla sicurezza pubblica giustificherebbero da parte dello Stato ingerenze gravi nei diritti fondamentali di cui agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea.

In questo senso, nel nostro Paese, il 30 settembre 2021 è stato pubblicato il D.L. 132/2021, convertito con modifiche nella legge 178/2021: tale normativa ha introdotto la nuova disciplina processuale da seguire per l'acquisizione e l'utilizzo dei dati relativi al traffico telefonico e telematico e alle chiamate senza risposta.

Ma il tema della Data retention è ampio e ci riguarda in molti ambiti: potremmo dire in ogni ambito in cui si tenga traccia dei nostri dati. Lo stesso Garante della privacy italiano, dinanzi a una sentenza della Corte del 2020 si era così espresso “Con la sentenza di oggi la Corte chiarisce che le esigenze di sicurezza nazionale non legittimano, per sé sole, la conservazione indiscriminata, da parte dei fornitori dei servizi di comunicazione elettronica, dei dati di traffico, applicandosi anche in questo caso le garanzie e i principi in materia di protezione dei dati. Linea da tempo sostenuta dal Garante per la protezione dei dati personali”.

Secondo il Garante, infatti, il rendere un perimetro invalicabile e giustificatorio la finalità di sicurezza nazionale è “un principio di assoluta rilevanza, sotto il profilo democratico, nel rapporto tra libertà e sicurezza già delineato nella sentenza Schrems del luglio scorso, per evitare che una dilatazione (…) della nozione di sicurezza nazionale finisca di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”. Un concetto espresso con grande chiarezza che rimanda, nuovamente, al delicato rapporto tra diritti individuali e interessi collettivi, in generale e nello specifico del trattamento dei dati personali. Di fatto, qui come in altri campi, anche il Garante riconosce la necessità di trovare un criterio di proporzionalità che renda accettabile la contemperazione degli interessi in campo.

Dunque il tema dei dati, del loro trattamento, della loro “violabilità” rimbalza anche nelle aule dei tribunali e richiede una attenzione costante agli sviluppi della giurisprudenza e alle valutazioni della dottrina.

Del resto sul tema il Garante si era espresso anche in relazione a due piattaforme: con il Provvedimento n. 234 del 10 giugno 2021 su Foodinho S.r.l., una società controllata da Glovo e che si occupa di delivery. Rispetto ai temi della Data retention il Garante contestava proprio - relativamente all’articolo 13, par. 2, lett a) del regolamento - i tempi di conservazione. L’informativa consegnata dal titolare agli interessati riportava la dicitura: I dati sono trattati per il solo tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti e, in ogni caso, non oltre la cessazione del rapporto di collaborazione”. Non solo il Garante contestava l’informativa, considerata troppo generica, ma anche il fatto che l’indicazione presente nell’informativa, secondo cui i dati sarebbero stati cancellati alla cessazione del rapporto di collaborazione, non rispondeva a verità dato che durante il controllo il Garante stesso aveva accertato che i dati venivano conservati anche dopo il termine della collaborazione con il rider.

Il secondo provvedimento è del 22 luglio 2021, n. 285, emanato nei confronti di Deliveroo Italy S.r.l. Anche in questo caso vi è una parte del provvedimento che riguarda la Data retention: l’informativa consegnata da Deliveroo Italy S.r.l. ai propri collaboratori riporta una formula estremamente generica, che non consente di sapere per quanto tempo i dati saranno “trattenuti”.

Dunque il principio è chiaro: tutti i trattamenti di dati personali devono prevedere un periodo di conservazione definito, preciso che dovrà essere riportato sul registro dei trattamenti e, nel rispetto dell’articolo 13, con chiarezza e senza genericità sulle informative.

L’articolo 5 del Gdpr, Principi applicabili al trattamento di dati personali, definisce la Data retention e le condizioni per strutturare una politica conforme di conservazione dei dati: I dati personali – si legge – sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”.

Ogni trattamento dovrà quindi essere analizzato e valutato per determinare la giusta Data retention. Non esistono formule preconfezionate adattabili a ogni contesto, e questo rende ancora più esplicito il motivo per cui, in ambito lavorativo, chiediamo trasparenza rispetto all’utilizzo e alla conservazione dei dati. Ogni azienda dovrebbe adeguarsi alla normativa in essere e dare l’informazione specifica anche sulla durata della conservazione dei dati.