Con l’entrata in vigore, a partire dal 25 maggio 2018, del Regolamento Ue 2016/679, meglio noto come GDPR, le norme e le linee operative contenute hanno trovato applicazione anche per la gestione degli archivi.
Il regolamento, infatti, si applica al trattamento di dati personali anche contenuti in un archivio o destinati a figurarvi (art. 2), laddove per archivio si intende “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico” (art. 4, n. 6).
Per offrire indicazioni e best practice da seguire per un’ottimale gestione degli archivi secondo gli standard del GDPR, lo European Archives Group ha stilato le Linee guida sull’applicazione del Regolamento europeo protezione dati personali negli archivi (Guidance on data protection for archive services), rivolte alle organizzazioni archivistiche pubbliche e private e a tutti gli istituti di conservazione (musei, fondazioni, biblioteche).
Deve inoltre tenersi in debita considerazione che, ai sensi dell’art. 17 del Reg. UE 2016/679, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.
Tuttavia, a fronte di stringenti regole per la cancellazione dei dati, questi ultimi possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
A tal fine, si segnala anche che alcune delle più recenti sanzioni comminate dalle Autorità hanno a oggetto proprio la violazione del principio di limitazione della conservazione dei dati personali.
Infatti, molte organizzazioni continuano ad operare in violazione del principio di cui all’art. 5, lettera e) del Regolamento, che pone in capo al titolare l’obbligo di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario.
La violazione dei principi di base del trattamento, è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Anno 8, n° 32, 12 settembre 2022
Su gestione degli archivi e privacy contatta Eliapos per saperne di più
A tal proposito, ti ricordiamo che l’argomento sarà approfondito nel corso di formazione su Regolamento generale sulla Protezione dei Dati & ruolo del Data Protection Officer – IV edizione – in partenza dal 27 ottobre p.v.