Cancellazione di dati personali da parte di aziende sottoposte a critiche
da T. Mielke
Il 24 aprile 2013 l'Incaricato federale per la protezione dei dati e la libertà d'informazione, Peter Schaar, ha presentato il suo 24° rapporto di attività per gli anni 2011 e 2012. In esso critica, tra l'altro, la mancanza di specifiche e regolamenti per la cancellazione dei dati personali nelle aziende e presenta una linea guida per un concetto di cancellazione.
Nel rapporto di attività, il Commissario federale per la protezione dei dati presenta, tra l'altro, una linea guida sulla cancellazione dei dati. Da questa linea guida emerge chiaramente che per molte aziende è ancora difficile cancellare i dati digitali. Molte aziende, inoltre, non vedono l'utilità di cancellare i dati che non sono più necessari.
I principi di necessità, prevenzione e minimizzazione dei dati richiedono la cancellazione dei dati non più necessari. L'articolo 6 della Direttiva UE sulla protezione dei dati contiene un requisito di cancellazione e anonimizzazione. La sezione 35(2) della legge federale tedesca sulla protezione dei dati (BDSG) prevede la cancellazione dei dati personali non più necessari per gli scopi legalmente consentiti.
Per garantire la cancellazione ordinata e conforme alla legge dei dati personali, gli autori della linea guida propongono lo sviluppo di un insieme di regole per la cancellazione, il cosiddetto concetto di cancellazione. Tra le altre cose, la linea guida raccomanda l'uso di periodi di cancellazione standardizzati e delle cosiddette classi di cancellazione. Queste classi di cancellazione hanno lo scopo di ridurre la complessità dei vari requisiti di cancellazione. Le classi di cancellazione sono utilizzate per assegnare i dati personali alle regole di cancellazione.
La creazione di un concetto di estinzione complesso nelle aziende avrebbe i seguenti vantaggi:
- I processi di cancellazione sono chiaramente definiti, in particolare per quanto riguarda il periodo di cancellazione.
- Riduzione dei costi IT grazie alla razionalizzazione degli inventari di dati e all'eliminazione di potenziali ridondanze.
- Il responsabile del trattamento adempie ai propri obblighi legali e documenta la propria conformità alla protezione dei dati.
- La protezione della persona interessata è rafforzata
La linea guida fornisce ai responsabili della protezione dei dati e ai responsabili della sicurezza informatica una buona base per la creazione di un concetto di cancellazione, ma non solleva le aziende dalla responsabilità di sviluppare un proprio concetto che tenga conto dei dati utilizzati nell'azienda, della struttura dell'azienda e dei rischi individuali dell'azienda.
Immagine: Wikipedia / Tobias Klenze / CC-BY-SA 4.0 (creativecommons.org/licenses/by/3.0) su de.wikipedia.org/wiki/Peter_Schaar#/media/File:2013-12-30_30C3_-_Peter_Schaar_3533.JPG