Torna al Blog
LegalTech & IA

Dati personali ritenuti: quanto tempo possiamo tenerli prima che scatti l'allarme?

Comitato Editoriale NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
20 giugno 2026
10 min di lettura
Dati personali ritenuti: quanto tempo possiamo tenerli prima che scatti l'allarme?

Il dilemma del tempo: quando i dati diventano 'troppo vecchi'?

Immagina di avere un armadio pieno di vestiti che non indossi da anni. Ogni tanto li guardi, pensi 'potrebbero tornare utili', ma alla fine occupano solo spazio. Ecco, i dati personali sono un po' come quei vestiti: tenerli oltre il necessario non è solo disordine, ma una violazione del GDPR. La domanda è: qual è la scadenza di 'conservazione' prima che scatti l'obbligo di cancellazione?

Il principio di limitazione della conservazione

L'articolo 5(1)(e) del GDPR stabilisce che i dati personali devono essere conservati per un tempo non superiore a quello necessario alle finalità per cui sono stati raccolti. In pratica, se raccogli dati per evadere un ordine, una volta consegnato il pacco, quei dati non servono più (salvo obblighi fiscali). Ma attenzione: non esiste un numero magico di giorni o anni valido per tutti. La durata dipende dal contesto.

Ad esempio, per un contratto di lavoro, i dati possono essere conservati per tutta la durata del rapporto e poi per 5-10 anni per obblighi fiscali. Per un'app di fitness, invece, se l'utente smette di usarla, dopo un periodo di inattività (es. 12 mesi) i dati dovrebbero essere cancellati o anonimizzati. Insomma, ogni finalità ha la sua 'data di scadenza'.

Come determinare il periodo di conservazione?

Non serve una sfera di cristallo: basta seguire questi passaggi:

  • Identifica la finalità: perché hai raccolto quei dati? Esempio: per spedire un prodotto.
  • Verifica gli obblighi legali: la legge fiscale richiede di conservare le fatture per 10 anni? Ok, allora i dati collegati possono restare per quel periodo.
  • Stabilisci un criterio oggettivo: ad esempio, 'cancelleremo i dati degli utenti inattivi dopo 2 anni'.
  • Documenta tutto: nella tua privacy policy, specifica i periodi di conservazione per ogni categoria di dati.

Un errore comune è pensare che 'a tempo indeterminato' sia accettabile. Non lo è, a meno che non ci sia una base legale solida (spoiler: quasi mai).

Il GDPR non fissa un limite temporale universale, ma richiede che i dati siano conservati solo per il tempo necessario alle finalità del trattamento. In pratica, ogni organizzazione deve definire e giustificare i propri periodi di conservazione, documentandoli nella privacy policy. Esempi comuni: 10 anni per dati contabili, 2 anni per cv di candidati non assunti, fino a cancellazione per dati di marketing dopo revoca del consenso.

Le eccezioni: quando puoi tenere i dati più a lungo

Ci sono casi in cui la conservazione prolungata è legittima: obblighi di legge (es. antiriciclaggio), esigenze di difesa in giudizio, o archiviazione per finalità di ricerca scientifica o statistica. Ma attenzione: devi sempre informare l'interessato e, se possibile, anonimizzare i dati.

Un esempio simpatico: se sei un'azienda che vende ciambelle, e un cliente ti fa causa perché una ciambella gli ha rotto un dente, puoi conservare i suoi dati per tutta la durata del contenzioso. Ma una volta chiuso, via! Non puoi tenerli 'per sicurezza' per eventuali future cause.

Conseguenze del mancato rispetto

Le sanzioni per violazione del principio di limitazione della conservazione possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Inoltre, gli interessati possono chiedere la cancellazione dei dati (diritto all'oblio) e, se non ottemperi, possono lamentarsi con il Garante. Insomma, meglio impostare un calendario di scadenze che pagare multe salate.

Per approfondire, consulta il testo ufficiale del GDPR su EUR-Lex.

FAQ

Quanto tempo posso conservare i dati dei clienti dopo l'ultimo acquisto?

Dipende dalla finalità. Per obblighi fiscali, fino a 10 anni. Per marketing, fino a revoca del consenso o dopo un periodo di inattività (es. 24 mesi). In ogni caso, devi specificarlo nella privacy policy.

Devo cancellare i dati di un utente che non ha usato l'app per un anno?

Non automaticamente, ma è buona prassi. Se la finalità del trattamento decade (es. l'utente non è più attivo), dovresti cancellare o anonimizzare i dati. Verifica la tua policy e, se necessario, invia un reminder all'utente.

Posso conservare i dati dei dipendenti dopo la fine del rapporto di lavoro?

Sì, ma solo per obblighi legali (es. fiscali, previdenziali) o per eventuali contenziosi. Di solito, 5-10 anni. Per altri scopi, devi cancellarli.

⏳ Linea del tempo: quanto conservare i dati?

Dati di navigazione (cookie)
Finalità: analisi e marketing. Conservazione: fino a 12 mesi dall'ultima visita, salvo consenso rinnovato.
Max 12 mesi
Dati contrattuali (ordini)
Finalità: esecuzione contratto e obblighi fiscali. Conservazione: 10 anni dalla data dell'ordine.
10 anni
CV di candidati non assunti
Finalità: selezione del personale. Conservazione: 2 anni, salvo consenso per future opportunità.
2 anni
Dati di utenti inattivi (app)
Finalità: fornitura servizio. Conservazione: fino a 24 mesi dall'ultimo accesso, poi cancellazione o anonimizzazione.
24 mesi
NakedPact Logo

Comitato Editoriale NakedPact

Articolo ideato dalla redazione di NakedPact. La nostra missione è analizzare, semplificare e svelare le clausole vessatorie e i rischi nascosti presenti nei contratti di uso quotidiano, per proteggere i cittadini e i consumatori.

Sei titolare di un sito web?

Sei titolare di un sito web?

Vuoi comunicare ai tuoi utenti la tua trasparenza nel trattare i dati? Utilizza in maniera dinamica il nostro badge e mostra la conformità della tua piattaforma.

🛡️ Proteggi i tuoi diritti con un clic

Non rischiare di firmare clausole abusive. Installa l'estensione gratuita di NakedPact per Chrome o Firefox e analizza all'istante qualsiasi contratto sul web.

Non fidarti, verifica.

Ora che sai quali sono i rischi, non firmare alla cieca. Carica il tuo contratto su NakedPact e lascia che l'Intelligenza Artificiale trovi le clausole nascoste per te. È 100% gratuito.

Analizza il tuo Contratto Ora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.