Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha introdotto il principio di “data retention”, che limita la conservazione dei dati personali al tempo strettamente necessario per il raggiungimento delle finalità per cui sono stati raccolti.
La data retention impone, al detentore dei dati personali, la conservazione solo per il tempo necessario a perseguire le finalità per cui sono stati acquisiti.
Trascorso questo periodo, i dati devono essere cancellati o anonimizzati, in modo da non rendere più possibile l’identificazione dell’interessato.
Quali sono i criteri per determinare il periodo di conservazione?
Il GDPR non fornisce un periodo di conservazione predefinito, ma indica alcuni criteri da utilizzare per determinare tale periodo:
- Le finalità del trattamento: il periodo di conservazione deve essere proporzionato al tempo necessario per raggiungere le finalità per cui i dati sono stati raccolti. Ad esempio, se i dati sono stati raccolti per finalità di marketing, il periodo di conservazione potrebbe essere inferiore rispetto a dati raccolti per finalità contabili.
- La natura dei dati: dati più “sensibili” (es. dati particolari, dati condanne e notizie di reato penale) o di natura più personale potrebbero richiedere un periodo di conservazione più breve.
- Le norme di legge: alcune leggi o normative potrebbero prevedere periodi di conservazione specifici per determinate tipologie di dati.
- I rischi per i diritti e le libertà degli interessati: il periodo di conservazione deve essere bilanciato con i rischi per i diritti e le libertà degli interessati.
Esempi di norme che prevedono la conservazione di dati personali:
Codice Civile:
Art. 2220: Conservazione delle scritture contabili (10 anni)
Art. 2948: Prescrizione ordinaria (10 anni)
Art.2220 e art. 39 del DPR 633/72 : Obbligo di conservare le fatture emesse e ricevute (10 anni)
Codice di Procedura Civile:
Art. 2697: Termini di decadenza per l’impugnazione delle delibere assembleari (90 giorni)
Art. 2953: Termine per l’esercizio del diritto di risarcimento del danno (5 anni)
D.Lgs. n. 231/2001:
Art. 13: Conservazione dei documenti contabili e delle scritture relative ai rapporti con i clienti e i fornitori (7 anni)
D.Lgs. n. 152/2006:
Art. 11: Conservazione dei dati relativi ai trattamenti sanitari (15 anni)
Cosa fare al termine del periodo di conservazione?
Al termine del periodo di conservazione, i dati personali devono essere cancellati o anonimizzati.
La cancellazione deve essere definitiva e sicura, in modo da non rendere possibile il recupero dei dati.
Il principio di data retention è un elemento fondamentale del GDPR.
Le aziende e gli enti che trattano dati personali devono adottare misure adeguate per garantire la corretta conservazione dei dati e la loro cancellazione al termine del periodo di conservazione.
La mancata osservanza di questo principio può comportare sanzioni.
