Quanto tempo posso conservare un dato personale

Quanto tempo posso conservare un dato personale?

Cosa si intende per tempi di conservazione?

Un qualunque trattamento di dati personali viene svolto per una qualche finalità, ad esempio una fattura, per l’invio di una newsletter, per l’invio di un’offerta.

Lo scopo del trattamento lo chiamiamo finalità.

Una finalità non può continuare all’infinito, specie quando l’interessato, non mostra più alcun “interesse” per noi, ad esempio non acquista più da noi da oltre tre anni.

Tutti i dati relativi ad una finalità che in qualche modo si è esaurita o che non ha più senso di esistere, devono essere cancellati dai nostri archivi.

L’Autorità preposta a sorvegliare l’applicazione del Regolamento, in Italia, è il “Garante per la protezione dei dati personali”, chiamato brevemente Garante Privacy e, tra i suoi compiti, c’è anche quello di fornire dei pareri o fornire delle linee di indirizzo.

Tra queste linee di indirizzo (che vanno sotto il nome di Provvedimenti) troviamo alcuni dettagli riguardo i tempi di conservazione, anche se non ci sono linee complete che coprano tutti gli aspetti normalmente appartenenti alle aziende classiche.

Potremmo scrivere interi capitoli su quando e come queste linee di indirizzo vengano scritte, quale importanza legale esse abbiano e se siano o meno vincolanti per noi.

Ma credo che nessuno voglia muovere guerra al Garante Privacy anche perché, a mio parere, difficilmente nel suo operato ha emesso Provvedimenti errati, portandoci alla naturale conclusione d’utilizzo delle sue linee di indirizzo come riferimenti per delle buone pratiche.

La tabella seguente riporta alcuni esempi di tempi di conservazione rispetto al tipo di trattamento.

TrattamentoTempi di conservazione
Scritture contabili10+1 anni (vedi art. 2220 Codice civile)
Comunicazioni commerciali (marketing)24 mesi dalla registrazione, per i clienti latenti. Si possono attivare procedure, prima della scadenza, per riconfermare la registrazione o permettere una nuova registrazione, ad esempio proponendo un nuovo e analogo servizio al quale iscriversi.
Selezione del personalesolitamente massimo 6 mesi dall’ultimo colloquio. Prestare attenzione agli aggiornamenti di CV massimo ogni 45 giorni (vecchiaia del dato) per i candidati a cui non è stato fatto alcun colloquio.
Casella posta elettronica dipendenteMai a tempo indefinito: specificare i tempi di conservazione bilanciando gli interessi azienda/dipendente. Provvedere alla rimozione immediata alle dimissioni delle email non lavorative (incluse quelle con l’ufficio personale) ed alla chiusura della casella, spostando le email lavorative altrove (motivandole).
Tabella – Tempi di conservazione

Una nota importante riguardo i tempi di conservazione e gli archivi in cui si trovano, che potrà sembrare in contraddizione a quanto appena detto sopra: in certe condizioni, per certi dati personali, i tempi di conservazione possono diventare “infiniti” o quantomeno mooolto lunghi.

Quando succede e cosa fare?

Ogniqualvolta esiste una legge a tutela di certi diritti che può essere “attivata” in tempi successivi nell’ordine di anni o decenni, noi possiamo mantenere tutti quei dati utili alla nostra difesa in sede giudiziaria.

Mi spiego meglio con un esempio.

A causa del tipo di attività lavorativa poco salutare svolta dal dipendente, è possibile a distanza di anni da parte di un ex dipendente fare causa all’azienda per cui ha lavorato.

In questo caso, l’azienda deve potersi difendere e, per dar luogo alla difesa è probabile che le serva tutta la documentazione medica a prova del fatto di aver rispettato le norme a tutela della salute.

Dove si trovavano queste informazioni in azienda?

Trattandosi di un ex dipendente, l’azienda non può tenere questi dati personali nello stesso archivio dei dipendenti “attivi”, questo perché all’azienda non servono più per la normale operatività (come la visita medica).

L’azienda ha preso questi dati personali e li ha spostati dall’archivio medico dei dipendenti attivi a quello per gli ex dipendenti.

La differenza è nella finalità dei dati presenti nei due archivi.

Nel primo ci sono i dati correnti, mentre nel secondo dei dati storici.

In generale possiamo dire che quando un dato non serve più per la normale attività dell’azienda e i tempi di conservazioni sono al termine, un dato o viene cancellato definitamente o, se ci sono norme legali a giustificazione, viene messo in un separato archivio.

Ad esempio, i dati di acquisto di un cliente, usati anche per l’invio di messaggi promozionali, dopo 24 mesi li dovremmo rimuovere dai nostri archivi.

Ma nel caso il prodotto che il cliente ha acquistato abbia un ciclo di vita di 10 anni e ci sia uno storico di possibili richiami, ad esempio a 5, 6 o 7 anni, potremo ragionevolmente conservare quei dati personali per 10 anni avendo l’accortezza di spostarli in un altro archivio o almeno di segnarli come non più utilizzabili per l’invio promozionale —> al più manderò informazioni che non suonino come commerciali, il cui contenuto è interessante per il destinatario (dando sempre la possibilità di cancellarsi).

So che il discorso dei tempi di conservazione può apparire complesso e, in effetti, lo è.

Mantieni la mente sgombra da complessità, concentrandoti nel trovare una soluzione solo per i dati che vorresti conservare il più a lungo possibile.

Ricorda che puoi sempre chiedere ad un esperto consulente privacy certificato consigli in merito.

Per avere un’idea, per sciogliere dei dubbi, puoi scrivermi all’indirizzo [email protected].

Vignetta di Paolo Tacconi – TAP

w01 created 2022-11-26-12-30-18