Perché i tempi di conservazione dei dati sono così importanti nel GDPR
Uno degli errori più frequenti che riscontriamo nelle aziende riguarda la convinzione che i dati personali possano essere conservati senza particolari limiti temporali. In realtà il Regolamento (UE) 2016/679 (GDPR) stabilisce un principio ben preciso: i dati devono essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti.
Questo principio, noto come limitazione della conservazione, impone a ogni impresa di individuare preventivamente i tempi di conservazione delle diverse categorie di dati trattati. Non esiste infatti una durata uguale per tutti: i dati dei clienti, quelli dei dipendenti, dei fornitori, dei candidati a una selezione o quelli raccolti tramite il sito web possono essere soggetti a termini differenti in base alla normativa applicabile e alle finalità del trattamento.
Molte aziende ritengono erroneamente che sia più prudente conservare tutta la documentazione “nel dubbio”. In realtà questa scelta può trasformarsi in un rischio. Conservare dati personali oltre il tempo necessario significa infatti trattare informazioni senza una valida base giuridica, con possibili conseguenze sia sotto il profilo sanzionatorio sia sotto quello della responsabilità nei confronti degli interessati.
Per questo motivo la definizione di una corretta politica di conservazione dei dati personali rappresenta uno degli aspetti fondamentali dell’adeguamento al GDPR. Tale politica deve essere coerente con tutta la documentazione privacy aziendale, dal registro dei trattamenti alle informative fornite agli interessati. Per comprendere quali documenti devono essere predisposti e mantenuti aggiornati può essere utile consultare anche l’articolo Privacy aziendale: quali documenti sono obbligatori e l’approfondimento Registro dei trattamenti: quando serve aggiornarlo.
Stabilire correttamente quanto tempo conservare i dati personali non significa soltanto rispettare un obbligo normativo, ma anche dimostrare l’adozione di un sistema organizzativo conforme al principio di accountability, riducendo il rischio di contestazioni da parte del Garante e aumentando il livello di tutela dell’azienda.
Come stabilire correttamente i tempi di conservazione dei dati personali
Una delle domande che riceviamo più frequentemente da imprenditori e professionisti è: per quanto tempo devono essere conservati i dati personali? La risposta è meno semplice di quanto possa sembrare, perché il GDPR non prevede un termine unico valido per ogni trattamento. Al contrario, richiede che ogni organizzazione individui un periodo di conservazione proporzionato alle finalità perseguite e alle eventuali disposizioni normative applicabili.
In pratica, ogni categoria di dato deve essere analizzata singolarmente. I dati raccolti per eseguire un contratto, ad esempio, potranno essere conservati anche dopo la conclusione del rapporto qualora ciò sia necessario per adempiere a obblighi di legge o per tutelare l’azienda in caso di eventuali contestazioni. Diversamente, i dati raccolti esclusivamente per finalità di marketing dovranno essere cancellati una volta esaurita la finalità per cui sono stati acquisiti o quando venga revocato il consenso, salvo la presenza di un diverso presupposto di liceità.
Definire i tempi di conservazione significa quindi valutare con attenzione diversi elementi, tra cui la finalità del trattamento, la base giuridica utilizzata, gli obblighi previsti dalla normativa di settore e gli eventuali termini di prescrizione dei diritti. Soltanto dopo questa analisi è possibile stabilire una policy di conservazione realmente conforme al GDPR.
È importante ricordare che tali tempi devono essere riportati in modo coerente all’interno della documentazione privacy dell’azienda. Le informative rivolte agli interessati devono indicare, ove possibile, il periodo di conservazione oppure i criteri utilizzati per determinarlo. Allo stesso modo, il registro dei trattamenti e gli altri documenti interni devono essere costantemente aggiornati affinché riflettano l’effettiva gestione dei dati personali.
Per questo motivo consigliamo sempre di verificare periodicamente tutta la documentazione privacy aziendale. Un approfondimento utile è disponibile nell’articolo Come aggiornare correttamente la documentazione privacy aziendale, mentre chi desidera comprendere in modo più ampio gli obblighi previsti dal Regolamento può consultare anche Adeguamento GDPR aziendale: cosa deve fare un’impresa.
Una politica di conservazione ben strutturata non serve soltanto a evitare possibili sanzioni, ma rappresenta anche uno strumento fondamentale per dimostrare la conformità dell’organizzazione ai principi di responsabilizzazione (accountability), minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.
Quali dati devono essere conservati e per quanto tempo
Uno degli aspetti più delicati della normativa privacy riguarda proprio l’individuazione dei tempi di conservazione dei dati personali. Molte aziende cercano una tabella con una durata prestabilita valida per qualsiasi situazione, ma il GDPR non fornisce un elenco di anni uguale per tutti. Il principio generale è che ogni dato deve essere conservato solo per il tempo strettamente necessario a perseguire la finalità per cui è stato raccolto o per adempiere agli obblighi previsti dalla legge.
Questo significa che all’interno della stessa azienda possono convivere periodi di conservazione differenti. I dati dei clienti, quelli dei dipendenti, dei fornitori, dei candidati a una selezione del personale, le informazioni raccolte attraverso il sito web o le campagne di marketing non seguono necessariamente le stesse regole. Ogni trattamento richiede infatti una valutazione specifica, documentata e coerente con la normativa vigente.
Ad esempio, i documenti fiscali e contabili devono essere conservati per i termini previsti dalla legislazione tributaria, mentre i dati raccolti per finalità commerciali o promozionali devono essere mantenuti soltanto fino a quando sussiste una valida base giuridica. Analogamente, i curriculum vitae ricevuti durante una selezione non possono essere archiviati indefinitamente, così come i dati dei clienti che non hanno più alcun rapporto con l’azienda devono essere periodicamente verificati per stabilire se sia ancora necessario conservarli.
La conservazione dei dati non riguarda soltanto gli archivi digitali. Anche la documentazione cartacea contenente dati personali deve essere gestita con gli stessi criteri previsti dal GDPR, adottando misure organizzative e di sicurezza adeguate per impedirne l’accesso non autorizzato, la perdita o la distruzione. Per approfondire questo tema consigliamo la lettura dell’articolo Privacy e documenti cartacei: come conservarli correttamente.
Particolare attenzione merita inoltre la conservazione dei documenti fiscali e contabili, che segue regole specifiche previste dalla normativa tributaria. Su questo argomento abbiamo dedicato un approfondimento specifico nell’articolo Privacy e dati contabili e fiscali: tempi di conservazione.
Per evitare errori è fondamentale che ogni organizzazione predisponga una policy di conservazione dei dati, definendo per ciascun trattamento il relativo periodo di conservazione, le modalità di archiviazione e le procedure di cancellazione o anonimizzazione una volta venuta meno la finalità del trattamento. Questo approccio consente non solo di rispettare il GDPR, ma anche di dimostrare, in caso di controlli, che l’azienda ha adottato misure concrete per garantire una gestione corretta e responsabile dei dati personali.
Esempio pratico: quando conservare troppo a lungo i dati può diventare un problema
Immaginiamo il caso di una società che, da diversi anni, conserva nel proprio gestionale tutti i dati dei clienti che hanno richiesto un preventivo, anche se non hanno mai concluso un contratto. Oltre ai dati identificativi, l’azienda mantiene copie di documenti, indirizzi e-mail, numeri di telefono e annotazioni commerciali senza aver mai definito un periodo massimo di conservazione né una procedura di cancellazione periodica.
Nel corso di un controllo interno emerge che molti di questi dati risalgono a oltre dieci anni prima e appartengono a persone che non hanno mai instaurato alcun rapporto con l’azienda. In questa situazione la semplice circostanza che i dati siano ancora presenti negli archivi può costituire una violazione del principio di limitazione della conservazione, poiché il trattamento continua senza una concreta finalità e senza una valida base giuridica.
In casi come questo interveniamo aiutando l’azienda a ricostruire tutti i trattamenti effettuati, individuare i corretti tempi di conservazione per ciascuna categoria di dati, aggiornare la documentazione privacy e predisporre una procedura periodica di verifica e cancellazione delle informazioni non più necessarie. Questo consente non solo di ridurre il rischio di contestazioni, ma anche di rendere gli archivi più ordinati, sicuri e facilmente gestibili.
La definizione di una corretta politica di conservazione deve inoltre essere coordinata con tutti gli altri adempimenti previsti dal GDPR. Ad esempio, è opportuno verificare che le informative privacy siano aggiornate e riportino correttamente i tempi di conservazione dei dati personali. Su questo argomento può essere utile consultare l’articolo Informative privacy: cosa devono contenere. Allo stesso modo, per comprendere come predisporre un sistema documentale realmente conforme consigliamo la lettura di Come evitare sanzioni privacy con una corretta documentazione.
Una gestione consapevole dei tempi di conservazione dei dati non rappresenta quindi un semplice adempimento burocratico, ma uno strumento fondamentale per dimostrare la conformità dell’azienda al GDPR, tutelare i diritti degli interessati e prevenire possibili sanzioni da parte dell’Autorità Garante.
Domande frequenti sulla conservazione dei dati personali (FAQ)
Per quanto tempo si possono conservare i dati personali secondo il GDPR?
Il GDPR non stabilisce un numero di anni valido per tutti i trattamenti. I dati personali devono essere conservati solo per il tempo necessario a raggiungere le finalità per cui sono stati raccolti oppure per il periodo previsto da specifici obblighi di legge. Una volta cessata la finalità del trattamento, i dati devono essere cancellati, anonimizzati oppure conservati esclusivamente se esiste un’altra valida base giuridica.
È possibile conservare i dati dei clienti anche dopo la fine del rapporto contrattuale?
Sì, ma soltanto quando esiste una ragione giuridicamente valida. Ad esempio, i dati possono essere mantenuti per adempiere a obblighi fiscali, contabili o per consentire all’azienda di esercitare o difendere un proprio diritto in sede giudiziaria. Conservare i dati senza una motivazione concreta o “nel dubbio” non è invece conforme ai principi del GDPR.
I tempi di conservazione devono essere indicati nell’informativa privacy?
Sì. L’informativa deve indicare il periodo durante il quale i dati personali saranno conservati oppure, quando ciò non sia possibile, i criteri utilizzati per determinarlo. Si tratta di un’informazione essenziale affinché gli interessati possano conoscere come vengono gestiti i propri dati. Per approfondire l’argomento è possibile consultare l’articolo Informative privacy: cosa devono contenere.
Cosa rischia un’azienda che conserva i dati troppo a lungo?
Conservare dati personali oltre il periodo necessario può costituire una violazione del principio di limitazione della conservazione previsto dal GDPR. Ciò può esporre l’azienda a controlli da parte del Garante Privacy, a provvedimenti correttivi, a sanzioni amministrative e, in alcuni casi, anche a richieste di risarcimento da parte degli interessati.
Come può un’azienda dimostrare di rispettare i tempi di conservazione previsti dal GDPR?
La soluzione migliore consiste nel predisporre una policy di conservazione dei dati, aggiornarla periodicamente e coordinarla con tutta la documentazione privacy aziendale, comprese informative, registro dei trattamenti e procedure interne. Un sistema documentale coerente rappresenta una delle principali dimostrazioni del rispetto del principio di accountability previsto dal Regolamento europeo.
Affidati allo Studio Legale Calvello per verificare la corretta conservazione dei dati personali
Definire correttamente i tempi di conservazione dei dati personali rappresenta uno degli aspetti più delicati dell’adeguamento al GDPR. Conservare i dati troppo a lungo, cancellarli prematuramente oppure non documentare adeguatamente le scelte adottate può esporre aziende e professionisti a controlli, contestazioni e sanzioni da parte dell’Autorità Garante.
Lo Studio Legale Calvello, forte di oltre venticinque anni di esperienza nell’assistenza alle imprese e nella consulenza in materia di privacy e protezione dei dati personali, supporta aziende, PMI, studi professionali ed enti nell’individuazione dei corretti tempi di conservazione dei dati, nella predisposizione della documentazione prevista dal GDPR e nell’aggiornamento delle procedure interne affinché siano realmente conformi alla normativa vigente.
Ogni organizzazione presenta caratteristiche differenti e, proprio per questo motivo, anche la politica di conservazione dei dati deve essere costruita su misura, tenendo conto delle specifiche attività svolte, degli obblighi di legge applicabili e delle concrete esigenze operative dell’impresa.
Se desideri verificare se la tua azienda rispetta correttamente il GDPR oppure hai dubbi sui tempi di conservazione dei dati personali, contatta lo Studio Legale Calvello. Analizzeremo la tua situazione, individueremo eventuali criticità e ti aiuteremo a predisporre una gestione dei dati conforme alla normativa, riducendo il rischio di sanzioni e tutelando concretamente la tua attività.



