Data retention: ecco tutte le info sulle tempistiche

Tutti coloro che lavorano in settori che prevedono la gestione e utilizzazione dei dati personali devono conoscere molto bene il significato di data retention. Con questo termine, infatti, si identifica il periodo di conservazione dei dati personali da parte del Titolare, nel rispetto del principio di minimizzazione, con la finalità di conseguire determinati obiettivi tramite un trattamento specifico. Chiaramente, si dà per scontato che i dati personali sono stati acquisiti in modi legali, così come sono da considerarsi del tutto lecite anche le finalità. Per data retention, dunque, si fa riferimento al periodo temporale nel quale il trattamento dei dati personali, raccolti a norma di legge, è da ritenersi come perfettamente giustificato.

Quando si parla di data retention significato e finalità sono molto importanti da comprendere per evitare brutte sorprese. Si sente spesso parlare di data retention policy, ovvero la politica relativa alla conservazione dei dati che deve definire come, in che modo e per quanto tempo si conservano i dati, il loro formato, quali sono gli accessi e il mezzo. Ignorare il concetto di data retention policy è un grosso rischio, questo perché, per molte aziende, viene richiesta obbligatoriamente per motivi di conformità imposti dagli enti regolatori. Comprendere il data retention significato e la sua importanza, aiuta anche le imprese stesse a valutare eventuali problemi di archiviazione o autorizzazione. Un data retention policy esempio virtuoso deve specificare, in sostanza, per quanto tempo esattamente si intendono conservare i dati prima di archiviarli.

Il riferimento per quanto riguarda il data retention è il GDPR, il Regolamento generale sulla protezione dei dati. Si tratta di una normativa europea che è nata per disciplinare come le aziende e altre organizzazioni devono trattare i dati personali. Ciò che dice il GDPR è, sostanzialmente, che i dati personali devono essere conservati solo ed esclusivamente per il tempo necessario al conseguimento degli obiettivi e delle finalità per cui sono stati acquisti. I dati personali non possono essere mantenuti, quindi, più a lungo del tempo strettamente necessario, e devono poi essere cancellati o resi anonimi. Esistono, però, alcune eccezioni per quanto riguarda il data retention, si pensi ad esempio alle informazioni di vendita, che possono essere conservate ai fini di controlli fiscali anche per dieci anni. Il principio di limitazione del trattamento dati riguarda tutti i titolari del trattamento, con l’eccezione delle intercettazioni telefoniche che, come vedremo, devono seguire altre direttive.

Una volta chiarita l’importanza che il GDPR attribuisce al principio di limitazione del trattamento dei dati personali, è anche importante sottolineare che il titolare deve agire sulla base dell’accountability, ovvero la responsabilizzazione dei titolari sull’adozione di “comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento” (art. 23-25 GDPR). L’introduzione di questo principio ha avuto conseguenze importanti per la data retention e per la protezione dei dati, in quanto affida direttamente ai titolari la responsabilità di decidere, in completa autonomia, le modalità e i limiti del trattamento dei dati personali. Ovviamente, però, il tutto sempre nei limiti imposti dal rispetto delle normative.

Il principio di accountability è stato esteso, oggi, anche a tutti quei dati trattati per finalità di marketing. Il GDPR ha apportato una significativa innovazione in questo senso, visto che, in passato, quelli acquisiti per finalità di marketing potevano essere conservati per un massimo di 24 mesi. I titolari del trattamento con tali fini devono, comunque, definire la data retention dei dati personali, ovvero stabilirne i limiti temporali. Sulla base di alcune sanzioni emesse in materia dal Garante, una data retention a norma di GDPR deve chiarire la durata effettiva del trattamento. Nel caso in cui non fosse possibile fissare una data precisa per la cessazione del trattamento dei dati personali, si deve stabilire un criterio che consenta all’interessato di sapere, con assoluta sicurezza, quando il trattamento dei dati può dirsi effettivamente cessato. La data retention deve, dunque, essere ben messa in rilievo nell’informativa privacy e nel registro dei trattamenti.

Il concetto di data retention è di importanza enorme anche e soprattutto per tutti i fornitori di servizi, in particolare ai dati relativi alle telefonate. Come si può facilmente intuire analizzando alcune recenti sentenze emesse dalla Corte di Giustizia, è essenziale anche per i fornitori di servizi telefonici assicurarsi di avere una data retention a norma di legge. Sulla base dell’art.132 del codice della privacy, infatti, la data retention per i dati telefonici prevede un massimo di 24 mesi per traffico telefonico, di 12 mesi per traffico telematico e di 30 giorni per le chiamate senza risposta. Nel 2021, come da sempre auspicato dal Garante della Privacy, è stato modificato l’art.132, chiarendo quali sono le situazioni in cui i dati delle telefonate, previa autorizzazione di un giudice, possono essere acquisiti dalle autorità: quando sussistono indizi di reati per cui è prevista la pena dell’ergastolo o della reclusione di non meno di tre anni, oppure in caso di reati di molestia, minaccia o disturbo alle persone.

Per realizzare una data retention policy efficace si potrebbe fare l’esempio di una piattaforma di e-commerce che raccoglie i dati personali dei propri clienti (nome e cognome, indirizzo di spedizione e informazioni di pagamento). Il titolare del trattamento deve decidere per quanto tempo conservare questi dati prima di eliminarli, e non farlo espone a tutta una serie di rischi. Una volta deciso che i dati possono essere conservati per un massimo di cinque anni dalla conclusione dell’ultimo ordine effettuato, questi possono essere utilizzati limitatamente alle finalità che si intendono conseguire con il trattamento, e quindi, in questo caso, per la gestione degli ordini o della fatturazione.

Dopo che sono trascorsi i cinque anni indicati dalla data retention policy, il titolare del trattamento può eliminare i dati personali dei clienti, salvo che non si debbano conservare per obblighi legali o per ottemperare alle direttive delle autorità. In conclusione, possiamo dire che determinare la data retention sia essenziale per evitare sanzioni e che il termine per la conservazione dei dati deve essere sempre definito per non rischiare di violare il principio di trasparenza nei confronti degli interessati del trattamento. Puoi affidare le tue campagne a una digital company con anni di esperienza come Ediscom, forte del database proprietario più grande d’Italia, in modo che gestisca la comunicazione e i dati di tuo interesse nel massimo rispetto delle normative vigenti. Scopri come possiamo aiutarti, contattaci subito!