Quanto dura il periodo di conservazione dei dati personali?

periodo di conservazione dei dati personali

periodo di conservazione dei dati personaliUno dei punti più discussi del Regolamento UE 2016/679 (comunemente chiamato GDPR) riguarda il periodo di conservazione dei dati personali o data retention. In particolare, il tema cruciale si concentra attorno ai parametri per fissare la durata di tale periodo: chi li stabilisce? In base a quali criteri? In questa breve guida cercheremo di far luce su un argomento delicato e attuale come quello della gestione dei dati personali, con l’obiettivo di fornire al lettore gli strumenti giusti per proteggere adeguatamente la propria privacy.

Chi stabilisce i termini per il periodo di conservazione dei dati personali

Ancora prima dell’introduzione del nuovo GDPR, in realtà, la legge italiana trattava già il tema della data retention: nel D.lgd 196/2003, all’articolo 11, si afferma infatti che i dati personali devono essere “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.

In base alla legge, quindi, i termini di conservazione sono variabili e vengono stabiliti direttamente dal titolare del trattamento. Per fare un esempio pratico, il legislatore potrebbe portare la data retention fino al periodo massimo di conservazione dei dati (come è stato un caso del 2017 in cui gli operatori telefonici sono stati obbligati a conservare i dati relativi al traffico delle chiamate per ben 72 mesi) oppure  intervenire per individuare il periodo minimo di conservazione, azione utile soprattutto in quei frangenti nei quali un soggetto esterno deve agire nei riguardi del titolare del trattamento (come un ex dipendente nei confronti dell’azienda con la quale ha avuto un rapporto di lavoro). Non bisogna infine dimenticare che esistono degli obblighi di conservazione dei dati personali per scopi fiscali o contrattuali, generalmente della durata di 5 o 10 anni.

Marketing e data retention: esiste una soluzione?

L’aspetto più critico delle discussioni sul periodo di conservazione dei dati personali riguarda soprattutto il marketing, basti solo pensare a quante volte veniamo contattati – telefonicamente o via mail – da aziende che intendono venderci prodotti o servizi. Sicuramente siamo stati noi a fornire i dati, ma come ricordarsi quando? Può anche essere successo parecchi anni addietro. E se è vero che occorre avere sempre un consenso informato per trattare i dati sensibili, è altrettanto giusto sapere come identificare il periodo di archiviazione delle informazioni che ci riguardano. In questo caso, quindi, il titolare del trattamento dei dati dovrebbe stabilire un periodo minimo di data retention, al termine del quale richiedere nuovamente il consenso informato.

L’importanza della documentazione

La data retention è un concetto variabile, che si declina in modi diversi a seconda del tipo di dati personali raccolti, delle finalità del trattamento, delle norme vigenti a riguardo e del settore in cui opera l’azienda. Non esiste quindi una soluzione unica per tutti, un quadro generale al quale fare riferimento per una policy condivisa; l’unica azione che può fungere da comune denominatore per i criteri con cui si stabilisce il periodo di conservazione dei dati personali è la documentabilità delle scelte fatte e delle motivazioni che hanno determinato la selezione di quegli specifici parametri di valutazione.

Condividi questo post
Condividi su facebook
Facebook
Condividi su whatsapp
WhatsApp
Condividi su linkedin
LinkedIn
Condividi su twitter
Twitter

Articoli Recenti