Come è stato dimostrato, diversi concetti che sono definiti al di fuori dell’articolo 5 GDPR sono rilevanti per la comprensione del principio di limitazione della conservazione. In particolare, questi sono:

• Identificazione diretta e indiretta definita nell’art. 4(1) GDPR
• Pseudonimizzazione che è definita nell’art. 4(5) GDPR
• Dati anonimi che sono definiti nel considerando 26 del GDPR

Nell’art. 11(1), il GDPR afferma che:

Se le finalità per le quali un titolare del trattamento tratta dati personali non richiedono o non richiedono più l’identificazione di un interessato da parte del titolare del trattamento, quest’ultimo non è obbligato a mantenere, acquisire o trattare informazioni supplementari per identificare l’interessato al solo scopo di rispettare il presente regolamento.

Questo fornisce una guida sull’importanza che il principio di limitazione della conservazione ha rispetto ad altri concetti nel GDPR: La limitazione della conservazione ha una chiara precedenza su altri obblighi del GDPR nel senso che un titolare del trattamento non deve raccogliere o conservare identificatori al solo scopo di rispettare questi obblighi.

Nell’articolo 11(2) GDPR^[1], questo è poi dichiarato esplicitamente per gli obblighi dei diritti degli interessati degli articoli da 15 a 20:

2. Se, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento può dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano, tranne quando l’interessato, al fine di esercitare i suoi diritti ai sensi di tali articoli, fornisce informazioni supplementari che ne consentano l’identificazione.

Oltre a questo, il GDPR sottolinea l’importanza della pseudonimizzazione in vari contesti:

L’art. 89(1) sottolinea l’importanza della pseudonimizzazione per il caso in cui, dopo aver soddisfatto le finalità iniziali, i dati siano trattati ulteriormente per “finalità compatibili”^[2]. In particolare, “gli scopi di archiviazione nell’interesse pubblico, gli scopi di ricerca scientifica o storica o gli scopi statistici non sono considerati incompatibili con gli scopi iniziali, conformemente all’articolo 89, paragrafo 1″^[3]. Art. 89(1) GDPR (2^nd frase) impone esplicitamente che per questo ulteriore trattamento, “misure tecniche e organizzative devono essere in atto ed elenca la pseudonimizzazione come unico esempio di tali misure (3^rd frase). Inoltre afferma (4^th frase): “Se queste finalità possono essere soddisfatte da un ulteriore trattamento che non permette o non permette più l’identificazione degli interessati, queste finalità sono soddisfatte in quel modo.” Questo sembra essere un’applicazione diretta del principio di limitazione della conservazione.

L’art. 6(4)(e) sottolinea ulteriormente il ruolo della pseudonimizzazione quando un titolare del trattamento determina se uno scopo aggiuntivo è compatibile con gli scopi per cui i dati sono stati raccolti.

L’art. 25(1) elenca la pseudonimizzazione come unico esempio di una misura che può essere attuata durante la protezione dei dati mediante progettazione.

Anche l’art. 32(1)(a) elenca la pseudonimizzazione insieme alla crittografia come una misura a sostegno della sicurezza. Mentre questo sottolinea ulteriormente l’importanza della pseudonimizzazione e quindi la limitazione della memorizzazione, ci si può chiedere tuttavia se la pseudonimizzazione sostenga effettivamente uno degli obiettivi di protezione comuni della sicurezza informatica, vale a dire riservatezza, integrità e disponibilità.

 

 

1. Vedi anche l’art. 12(2) GDPR che discute ulteriormente questo caso. ↑
2. Vedi l’art. 5(1)(b) GDPR. ↑
3. Testo tratto dall’art. 5(1)(b) GDPR. ↑