Dati personali ritenuti: quanto tempo possiamo tenerli prima che scatti l'allarme?

Indice dei Contenuti
Il dilemma del tempo: quando i dati diventano 'troppo vecchi'?
Immagina di avere un armadio pieno di vestiti che non indossi da anni. Ogni tanto li guardi, pensi 'potrebbero tornare utili', ma alla fine occupano solo spazio. Ecco, i dati personali sono un po' come quei vestiti: tenerli oltre il necessario non è solo disordine, ma una violazione del GDPR. La domanda è: qual è la scadenza di 'conservazione' prima che scatti l'obbligo di cancellazione?
Il principio di limitazione della conservazione
L'articolo 5(1)(e) del GDPR stabilisce che i dati personali devono essere conservati per un tempo non superiore a quello necessario alle finalità per cui sono stati raccolti. In pratica, se raccogli dati per evadere un ordine, una volta consegnato il pacco, quei dati non servono più (salvo obblighi fiscali). Ma attenzione: non esiste un numero magico di giorni o anni valido per tutti. La durata dipende dal contesto.
Ad esempio, per un contratto di lavoro, i dati possono essere conservati per tutta la durata del rapporto e poi per 5-10 anni per obblighi fiscali. Per un'app di fitness, invece, se l'utente smette di usarla, dopo un periodo di inattività (es. 12 mesi) i dati dovrebbero essere cancellati o anonimizzati. Insomma, ogni finalità ha la sua 'data di scadenza'.
Come determinare il periodo di conservazione?
Non serve una sfera di cristallo: basta seguire questi passaggi:
- Identifica la finalità: perché hai raccolto quei dati? Esempio: per spedire un prodotto.
- Verifica gli obblighi legali: la legge fiscale richiede di conservare le fatture per 10 anni? Ok, allora i dati collegati possono restare per quel periodo.
- Stabilisci un criterio oggettivo: ad esempio, 'cancelleremo i dati degli utenti inattivi dopo 2 anni'.
- Documenta tutto: nella tua privacy policy, specifica i periodi di conservazione per ogni categoria di dati.
Un errore comune è pensare che 'a tempo indeterminato' sia accettabile. Non lo è, a meno che non ci sia una base legale solida (spoiler: quasi mai).
Featured Snippet Bait: Qual è la durata massima di conservazione dei dati personali secondo il GDPR?
Il GDPR non fissa un limite temporale universale, ma richiede che i dati siano conservati solo per il tempo necessario alle finalità del trattamento. In pratica, ogni organizzazione deve definire e giustificare i propri periodi di conservazione, documentandoli nella privacy policy. Esempi comuni: 10 anni per dati contabili, 2 anni per cv di candidati non assunti, fino a cancellazione per dati di marketing dopo revoca del consenso.
Le eccezioni: quando puoi tenere i dati più a lungo
Ci sono casi in cui la conservazione prolungata è legittima: obblighi di legge (es. antiriciclaggio), esigenze di difesa in giudizio, o archiviazione per finalità di ricerca scientifica o statistica. Ma attenzione: devi sempre informare l'interessato e, se possibile, anonimizzare i dati.
Un esempio simpatico: se sei un'azienda che vende ciambelle, e un cliente ti fa causa perché una ciambella gli ha rotto un dente, puoi conservare i suoi dati per tutta la durata del contenzioso. Ma una volta chiuso, via! Non puoi tenerli 'per sicurezza' per eventuali future cause.
Conseguenze del mancato rispetto
Le sanzioni per violazione del principio di limitazione della conservazione possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Inoltre, gli interessati possono chiedere la cancellazione dei dati (diritto all'oblio) e, se non ottemperi, possono lamentarsi con il Garante. Insomma, meglio impostare un calendario di scadenze che pagare multe salate.
Per approfondire, consulta il testo ufficiale del GDPR su EUR-Lex.
FAQ
Quanto tempo posso conservare i dati dei clienti dopo l'ultimo acquisto?
Dipende dalla finalità. Per obblighi fiscali, fino a 10 anni. Per marketing, fino a revoca del consenso o dopo un periodo di inattività (es. 24 mesi). In ogni caso, devi specificarlo nella privacy policy.
Devo cancellare i dati di un utente che non ha usato l'app per un anno?
Non automaticamente, ma è buona prassi. Se la finalità del trattamento decade (es. l'utente non è più attivo), dovresti cancellare o anonimizzare i dati. Verifica la tua policy e, se necessario, invia un reminder all'utente.
Posso conservare i dati dei dipendenti dopo la fine del rapporto di lavoro?
Sì, ma solo per obblighi legali (es. fiscali, previdenziali) o per eventuali contenziosi. Di solito, 5-10 anni. Per altri scopi, devi cancellarli.
⏳ Linea del tempo: quanto conservare i dati?

Comitato Editoriale NakedPact
Articolo ideato dalla redazione di NakedPact. La nostra missione è analizzare, semplificare e svelare le clausole vessatorie e i rischi nascosti presenti nei contratti di uso quotidiano, per proteggere i cittadini e i consumatori.
Fonti e Riferimenti Normativi

Sei titolare di un sito web?
Vuoi comunicare ai tuoi utenti la tua trasparenza nel trattare i dati? Utilizza in maniera dinamica il nostro badge e mostra la conformità della tua piattaforma.
Letture Consigliate

Claro nei guai in Brasile: condivisione illecita di dati con Serasa e il rischio di un precedente
Il Tradimento di Coinbase: Come l'Assistenza Clienti Ha Esposto le Tue Identità Digitali

AI Act: Deadline Slip, Ma i Questionari dei Fornitori Non Aspettano
🛡️ Proteggi i tuoi diritti con un clic
Non rischiare di firmare clausole abusive. Installa l'estensione gratuita di NakedPact per Chrome o Firefox e analizza all'istante qualsiasi contratto sul web.
Non fidarti, verifica.
Ora che sai quali sono i rischi, non firmare alla cieca. Carica il tuo contratto su NakedPact e lascia che l'Intelligenza Artificiale trovi le clausole nascoste per te. È 100% gratuito.
Analizza il tuo Contratto Ora