Ai sensi dell’art 5.1 lett e) del Regolamento Europeo 2016/679 i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Tali dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
L’adempimento di obblighi legali, l’applicazione della vigente normativa civilistica, fiscale, etc. implicano che alcuni Dati Personali debbano essere ulteriormente conservati nel rispetto delle tempistiche previste da detti obblighi o normative.
Inoltre, il legislatore e/o l’autorità di controllo, possono stabilire, per alcune tipologie di trattamento, durate specifiche nel rispetto delle limitazioni previste dalla Normativa applicabile in materia di protezione dei dati.
La sanzione inflitta dall’AEPD
Il 28 agosto 2020 la AEPD (Autorità Spagnola di protezione dei dati) ha multato una banca (Bankia) per aver conservato i dati di un correntista 16 anni oltre la risoluzione del contratto (resolucion PS/00076/2020).
L’interessato reclamante si recava presso l’istituto di credito per aprire un nuovo conto corrente.
Durante la procedura d’apertura l’impiegato dello sportello bancario comunicava all’interessato che nella memoria del sistema visibile a monitor era presente il suo vecchio indirizzo di residenza del 2002. L’interessato tuttavia aveva cessato di essere correntista oltre 16 anni prima e pertanto presentava reclamo all’Autorità Garante.
La difesa della banca si basava sull’applicazione dell’articolo 32 della legge “Protección de Datos Personales y garantía de los derechos digitales” che prevede:
- Il responsabile del trattamento sarà obbligato a bloccare i dati quando procede alla sua rettifica o soppressione
- Il “blocco” (limitazione) dei dati consiste nell’ identificazione e mantenimento degli stessi, adottando mezzi tecnici ed organizzativi per impedire i loro trattamento, inclusa la visualizzazione, eccetto per la messa a disposizione dei dati ai giudici e tribunali […]
Ciò nonostante la AEPD ha ritenuto inadempiente la Banca in quanto la stessa, nonostante la pregressa chiusura del conto corrente, non si era limitata a conservare i dati personali oggetto di trattamento ma li aveva mantenuti visibili per i propri dipendenti.
Il Garante privacy spagnolo ha pertanto inflitto una sanzione all’istituto di credito pari a € 50000,00 per violazione dell’articolo 5.1 b) del Regolamento Ue 2016/679 per il quale i dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non siano incompatibili con tali finalità.
Tuttavia probabilmente sarebbe stata più appropriata una sanzione ai sensi del sopracitato art 5.1 e) del Regolamento Ue 2016/679.
