Diritto all’oblio e cancellazione dei dati nei backup

GDPR for HR | 25.05.2020

E’ indubbio come uno degli obiettivi fondamentali della GDPR sia quello di aumentare il livello di affidamento dei cittadini rispetto alla società digitale.

Da qui la necessità di aumentare considerevolmente la tutela e i diritti in capo ai soggetti interessati.

Uno dei diritti più controversi e sicuramente, da un certo punto di vista, uno dei più innovativi, è il diritto alla cancellazione dei dati personali, di cui all’art. 17 del GDPR.

Il diritto alla cancellazione dei dati personali è anche conosciuto quale “diritto all’oblio”. Con il termine “oblio” si intende abbandono, dimenticanza.

Il diritto all’oblio di cui all’art. 17 del GDPR è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale. Esso non fa altro che confermare, da una parte, i punti fermi che già erano propri del diritto alla cancellazione dei dati, quali la cancellazione dei dati quando essi non sono più necessari alla finalità per cui sono stati raccolti, ovvero quando ne viene revocato il consenso.

In merito alla mera cancellazione dei dati a fronte della richiesta del candidato, merita sicuramente una menzione particolare la best practice per cui il candidato possa accedere alla propria area personale e autonomamente procedere alla cancellazione dei propri dati personale.

Questa sarebbe la condizione ottimale per poter garantire il rispetto della norma. Chi può contare su di una tecnologia ad hoc che permette a ciascun candidato di registrarsi e di avere una propria area riservata che consenta un controllo autonomo da parte del candidato stesso con riferimento all’uso e all’eventuale cancellazione dei propri dati, sicuramente guadagna in termini di tempo risparmiato, ma non solo, in quanto questo risulta essere ad oggi l’unico modo che permetta una efficace applicazione della norma.

Pensiamo, infatti, a quante volte ci capita archiviare magari in forma cartacea un curriculum vitae, oppure di trasmettere a un collega una candidatura. Come potremmo poi ricordarci di tutto ciò in caso di richiesta di cancellazione? Come verrebbero tracciate tali azioni in assenza di una tecnologia idonea che lo faccia al posto nostro?

Ma la parte veramente nuova, che consente di parlare anche di diritto all’oblio (e non solo di cancellazione), riguarda il dovere specifico posto a carico del titolare che riceva una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.

In questa ipotesi l’art. 17, paragrafo 2, impone al titolare non solo di cancellare i dati. Egli deve anche, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati da lui resi pubblici.

Questo obbligo, ovviamente, sussiste quando la richiesta dell’interessato abbia ad oggetto la cancellazione di “qualsiasi link, copia o riproduzione dei suoi dati personali”.

Si evince, pertanto, quanto tale norma, apparentemente standard, sia in realtà molto più complessa di quanto si pensi, e ancora più complicata ne sarà la corretta attuazione.

Essa infatti pone a carico del titolare in questione, l’obbligo di diventare un “tramite” tra l’interessato e chiunque stia trattando i dati di quest’ultimo.

Il titolare destinatario della richiesta sembra avere solo il dovere di segnalazione, lasciando ovviamente alla responsabilità degli altri titolari/responsabili valutare se essa debba o no essere accolta anche da loro, tenendo conto della base giuridica specifica in virtù della quale ciascuno di essi operano.

Da una prima lettura della norma, egli sembrerebbe non essere tenuto a comunicare all’interessato di aver ottemperato all’obbligo di segnalazione ad altri titolari. In realtà, però, la lettura incrociata dell’art. 17 del GDPR e dei principi di trasparenza e di accountability sempre normati dal GDPR potrebbe far ritenere che il dovere di informativa debba essere in qualche modo tenuto in conto. Anche il dovere di segnalazione, tuttavia, trova un limite nella tecnologia disponibile e dei costi di attuazione ragionevoli.

Praticamente, i candidati possiedono il diritto di chiedere il blocco/cancellazione del trattamento dei loro dati. Questo significa che l’azienda coinvolta dovrà obbligatoriamente identificare tutti i luoghi, fisici o digitali, nei quali queste informazioni sono archiviate (ad esempio in tabelle Excel o nelle tue email e hard disk) e cancellarli entro 1 mese dalla richiesta del candidato.

Questo è uno degli elementi più delicati del GDPR. Onde evitare di incorrere in sanzioni considerevoli, si consiglia di abbandonare la gestione manuale basata generalmente sui fogli Excel dei processi di recruiting, soprattutto in quanto questi ultimi possono essere facilmente duplicati, modificati e condivisi all’insaputa del proprietario.

Come si vede l’art. 17 non riguarda dunque tanto il diritto all’oblio come generalmente inteso ma contiene un’innovazione estremamente importante, legata direttamente alla società digitale.

Il salto in avanti nella tutela dei diritti dell’interessato è, quindi, molto accentuato.

Nel modello SaaS (Software as a Service), ad esempio, è il provider che deve garantire la corretta implementazione degli adempimenti relativi alla cancellazione cui è obbligato il titolare. Nel caso di Arca, infatti, la condivisione con l’esterno è sempre fatta tramite link e mai con la trasmissione di documenti. Questo per poterne garantire la relativa cancellazione. A quel punto, disattivando o cancellando il link, il dato verrebbe cancellato, senza necessità di doversi ricordare su quali piattaforme sia stato condiviso il link.

Quello che preme sottolineare è che quando ci si riferisce al diritto all’oblio ai sensi del nuovo GDPR si parla di cosa estremamente complessa, che va molto oltre il diritto all’oblio applicato al motore di ricerca e alle notizie diffuse attraverso i mezzi della società dell’informazione.