Home / Blog / Data Lineage ovvero tracking data from source to target

Data Lineage ovvero tracking data from source to target

Inserito da Simona Cerone 6 Marzo 2019 in Privacy e tutela delle informazioni

Una tra le principali novità introdotte dal Regolamento Europeo 2016/679 (Regolamento generale sulla protezione dei dati), divenuto applicabile in maniera effettiva dal 25 maggio dello scorso anno, è sicuramente quella prevista dagli articoli 13 e 14, comma 2, lettera a).

Che fine fanno i nostri dati?

Tali disposizioni, che vanno a dettagliare tutte le informazioni che il Titolare del trattamento deve necessariamente fornire all’interessato, sia in caso di raccolta diretta sia nel caso in cui i dati personali non siano ottenuti direttamente presso di lui, prevedono, tra i vari requisiti per garantire un trattamento corretto e trasparente, anche “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.

In poche parole, l’interessato deve essere informato circa il periodo in cui i propri dati personali sono trattati e conservati dal Titolare del Trattamento. Dati personali che, ai sensi dell’articolo 5, comma 1, lettera e) del richiamato Regolamento, devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, nell’ottica di un trattamento che sia lecito e corretto e che abbia unicamente ad oggetto dati personali adeguati, pertinenti e limitati a quanto necessario per le finalità perseguite con lo stesso. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario e, per evitare che i dati personali siano conservati più a lungo del dovuto, il Titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica.

L’importanza delle policy ad hoc

In termini pratici, è opportuno che il Titolare del trattamento adotti una vera e propria policy ad hoc per la conservazione, e successiva cancellazione, dei dati personali trattati, soprattutto nel caso in cui il core business dello stesso comporti la gestione di un considerevole patrimonio informativo, uno tra gli asset di maggiore valore di non sempre agile amministrazione. La sempre crescente massa di dati, incentivata dal repentino accrescimento della c.d. Digital trasformation, un processo che non si limita all’adozione di tecnologie sempre nuove ma ha il vanto di saper creare interconnessioni che, inevitabilmente, favoriscono la circolazione di informazioni (compresa la circolazione di dati personali), necessita, infatti, di adeguata cura.

Poiché una elevata qualità dei dati ed una loro corretta gestione costituiscono ormai un presupposto indispensabile per garantire informazioni complete, aggiornate e affidabili, è opportuno che le aziende adottino di un sistema di Data Governance che individui ruoli e responsabilità di tutte le funzioni coinvolte nell’utilizzo e nel trattamento, a fini operativi e gestionali, delle informazioni aziendali (ivi compresi i dati personali).

Data Lineage: il ciclo di vita dei dati

A tale scopo risulta assai utile la definizione del cosiddetto Data Lineage – tracking data from source to target -, una sorta di ciclo di vita dei dati che permette di ricostruire il preciso percorso seguito dagli stessi, risalendo fino alle loro origini, e di comprendere cosa accade (o è accaduto) loro con le trasformazioni subite nel tempo ed i loro effetti sui processi di business.

Un sistema di Data Lineage, e più in generale di Data Governance, non dovrà coinvolgere l’IT manager unicamente, ma l’intero business in quanto, i dati personali, sono spesso essi stessi il business. Mappare il flusso dei dati consente al Titolare del trattamento, inoltre, di conformarsi al Regolamento UE 2016/679 in maniera ottimale e di poter rispettare obblighi ed adempimenti ivi disciplinati.

Se il Titolare del trattamento è in grado di ricostruire l’intero ciclo di vita del dato, individuare un termine di conservazione e procedere alla cancellazione diviene attività ordinaria.

Ma come individuare il termine giusto di cancellazione?

In alcuni casi è il Garante per la protezione dei dati personali che viene in aiuto del Titolare del trattamento determinando, per taluni trattamenti, il periodo di conservazione opportuno. Il provvedimento del 24 febbraio 2005, ad esempio, afferma che i dati personali “possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati”.

Il provvedimento del 8 aprile 2010 in materia di videosorveglianza ci dice che la conservazione delle immagini, e quindi dei dati personali, “deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell´autorità giudiziaria o di polizia giudiziaria” essendo possibile, solo in alcuni casi e in presenza di esigenze particolari, ammettere un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana.

Laddove manchi uno specifico riferimento sarà compito del Titolare del trattamento individuare un termine di conservazione che rispetti i principi richiamati e dimostrarne l’adeguatezza ai sensi del c.d. principio di accountability.

Don`t copy text!