La legge sulla protezione dei dati nel Regno Unito è cambiata a seguito della Brexit. Puoi trovare le ultime indicazioni qui.
Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), le organizzazioni devono creare una politica di conservazione dei dati per aiutarle a gestire il modo in cui gestiscono le informazioni personali.
Se conservi dati sensibili per troppo tempo, anche se vengono conservati in modo sicuro e non vengono utilizzati in modo improprio, potresti comunque violare i requisiti del regolamento.
Potrebbe sembrare eccessivamente severo, ma c’è una buona ragione per questo. In questo blog, spieghiamo perché questo è il caso, come funzionano le politiche di conservazione dei dati e come è possibile crearne uno in linea con i requisiti del GDPR.
Che cos’è una politica di conservazione dei dati?
Una politica di conservazione dei dati è un insieme di linee guida che aiuta le organizzazioni a tenere traccia di quanto tempo le informazioni devono essere conservate e come smaltirle quando non sono più necessarie.
La politica dovrebbe anche delineare lo scopo del trattamento dei dati personali. Ciò garantisce che l’utente disponga di prove documentate che giustifichino i periodi di conservazione e smaltimento dei dati.
Finalità e obiettivi
Se ripensi al panico che ha preceduto l’entrata in vigore del GDPR, avrai una perfetta comprensione del motivo per cui i periodi di conservazione dei dati sono essenziali.
Le organizzazioni che non avevano interagito con noi per anni sono uscite dalla lavorazione del legno per chiedere il nostro consenso a mantenere i nostri dati.
Ha mostrato quanto spesso i nostri record si trovano sui database dell’organizzazione molto tempo dopo che abbiamo finito di utilizzare i loro servizi.
L’organizzazione non vuole sbarazzarsi delle informazioni, perché non costa praticamente nulla per memorizzare i dettagli del cliente, ma mantenerle inutilmente le espone alle minacce alla sicurezza.
Ci vuole solo un pezzo di sfortuna per i sistemi di un’organizzazione per essere violato, che si tratti di un attacco informatico o un errore interno.
Quindi, per limitare i danni che le violazioni dei dati possono causare, le autorità di regolamentazione hanno imposto alle organizzazioni con sede nell’UE di conservare i dati personali solo se esiste un motivo legittimo per conservarli.
Per quanto tempo possono essere conservati i dati personali?
Nonostante l’apparente severità dei periodi di conservazione dei dati del GDPR, non ci sono regole sulla limitazione della conservazione.
Le organizzazioni possono invece fissare le proprie scadenze in base a qualsiasi motivo ritengano opportuno. L’unico requisito è che l’organizzazione deve documentare e giustificare il motivo per cui ha fissato il lasso di tempo che ha.
La decisione dovrebbe basarsi su due fattori chiave: lo scopo del trattamento dei dati e eventuali requisiti normativi o legali per conservarli.
I dati non dovrebbero essere conservati più a lungo del necessario e non dovrebbero essere conservati “nel caso in cui” ne abbiate bisogno in futuro.
Finché si applica ancora uno dei tuoi scopi, puoi continuare a memorizzare i dati.
Dovresti anche considerare i tuoi requisiti legali e normativi per conservare i dati. Ad esempio, quando i dati sono soggetti a tasse e audit o per rispettare standard definiti, ci saranno linee guida sulla conservazione dei dati che devi seguire.
È possibile pianificare come verranno utilizzati i dati e se saranno necessari per un uso futuro creando una mappa del flusso di dati. Questo processo è utile anche quando si tratta di individuare i dati e rimuoverli una volta scaduto il periodo di conservazione.
Ci sono due modi per evitare le scadenze di conservazione dei dati. Il primo consiste nell’anonimizzare i dati; ciò significa che le informazioni non possono essere collegate a un interessato identificabile.
Se i tuoi dati sono resi anonimi, il GDPR ti consente di conservarli per tutto il tempo che desideri.
Si dovrebbe fare attenzione quando si fa questo, però. Se le informazioni possono essere utilizzate insieme ad altre informazioni che l’organizzazione detiene per identificare un individuo, allora non sono adeguatamente anonimizzate.
È inoltre possibile eludere i termini di conservazione dei dati se le informazioni vengono conservate per scopi di archiviazione nell’interesse pubblico, per scopi di ricerca scientifica o storica o per scopi statistici.
Cosa fare con i dati oltre il periodo di conservazione
Hai due opzioni quando scade il termine per la conservazione dei dati: cancellarli o anonimizzarli.
Se si sceglie di eliminare i dati, è necessario assicurarsi che tutte le copie siano state scartate. Per fare ciò, dovrai scoprire dove sono memorizzati i dati. È un file digitale, una copia cartacea o entrambi?
È facile cancellare i dati cartacei, ma i dati digitali spesso lasciano traccia e le copie possono risiedere in file server e database dimenticati.
Per rispettare il GDPR, è necessario inserire i dati “oltre l’uso”. Tutte le copie dei dati devono essere rimosse dai sistemi live e di backup.
Come creare una politica di conservazione dei dati
La politica di conservazione dei dati dovrebbe essere parte del processo generale di documentazione sulla sicurezza delle informazioni.
Il primo passo è quello di ottenere un quadro completo di esattamente quali dati si sta elaborando, ciò che viene utilizzato per e quali regolamenti si applicano alla vostra azienda.
Questi regolamenti includono, ma non sono necessariamente limitati a, il GDPR. Ad esempio, se si elaborano i dati della carta di debito o di credito, è possibile che l’utente sia soggetto allo standard PCI DSS (Payment Card Industry Data Security Standard).
Allo stesso modo, se si intende rispettare ISO 27001, lo standard internazionale che descrive le migliori pratiche per la sicurezza delle informazioni, è necessario prendere nota dei suoi requisiti.
Questi requisiti di conformità determineranno quali informazioni devono essere incluse nella tua politica e le regole da seguire.
Una semplice politica di conservazione dei dati affronterà:
- I tipi di informazioni coperte dalla politica
Diversi tipi di informazioni saranno soggetti a regole diverse, quindi è necessario tenere un registro di quali dati si sta elaborando – se si tratta di nomi, indirizzi, dettagli di contatto, documenti finanziari e così via.
- Per quanto tempo hai il diritto di conservare le informazioni
I clienti sono talvolta sorpresi quando diciamo loro che GDPR non stabilisce limiti di tempo specifici per la conservazione dei dati. Il periodo di tempo in cui si detengono dati particolari è una decisione soggettiva da prendere in base alle ragioni dell’elaborazione dei dati.
- Cosa dovresti fare con i dati quando non sono più necessari
La cancellazione regolare dei dati non necessari riduce anche la quantità di dati che devi setacciare per soddisfare le richieste di accesso ai soggetti. Riduce anche i costi di archiviazione e gestione dei documenti.
Passare attraverso la politica di conservazione dei dati regolarmente consente di pulire casa e rimuovere i file duplicati e obsoleti per evitare confusione e accelerare le ricerche necessarie.
Prova il nostro modello di politica di conservazione dei dati
Creare una politica di conservazione dei dati può sembrare un compito arduo, ma con il nostro Toolkit GDPR, il processo è reso semplice.
Contiene tutto il necessario per conformarsi al Regolamento, incluso un modello di politica di conservazione dei dati GDPR che le organizzazioni del Regno Unito possono utilizzare per formalizzare il tuo approccio alla conformità risparmiando tempo e denaro.
Questo toolkit contiene anche:
- Un Divario Strumento di Analisi che è possibile utilizzare per misurare la conformità generale pratiche;
- Guida su come completare la documentazione richiesta, con modelli di pseudonymisation, ridurre al minimo e di crittografia, per citarne alcuni;
- ruoli e responsabilità matrice per aiutarvi a capire che sovrintende a determinati compiti e funzione.
Una versione di questo blog è stata originariamente pubblicata su 12 November 2018.