DOMANDA: quali sono le principali criticità nella definizione dei tempi di conservazione dei dati?

Risponde Pierpaolo Benzi

La gestione dei tempi di conservazione dei dati è una delle questioni più complesse nel campo della protezione dei dati personali. Le aziende si trovano spesso a dover navigare tra esigenze legali, operative e commerciali. Un grave errore consiste nel non avere criteri oggettivi che guidino la definizione di tali periodi. È imperativo che i DPO e le imprese sviluppino un approccio basato su principi chiari. Al primo posto c'è la necessità di valutare la finalità del trattamento: i dati devono essere conservati soltanto per il tempo necessario a raggiungere gli scopi per cui sono stati raccolti.

Inoltre, occorre considerare le ormai ineludibili necessità di conformità alla normativa: il GDPR, ad esempio, fa esplicito riferimento al principio di limitazione della conservazione, che impone di stabilire periodi illimitati o indefiniti. Una revisione costante delle politiche di retention è cruciale per garantire che le tempistiche siano sempre aggiornate e pertinenti.

L'approfondimento: come possono le PMI implementare un sistema di retention efficace?

Un sistema di retention efficace deve partire da un'analisi approfondita delle tipologie di dati trattati e delle richieste normative applicabili. È utile creare un matrix di retention, dove si identificano i dati per categoria, le finalità e le scadenze previste per la cancellazione. Un approccio proattivo non solo favorisce la compliance, ma migliora anche la gestione operativa e l'efficienza all'interno dell'azienda.

Il dettaglio normativo: quali articoli del GDPR trattano i tempi di conservazione?

Il GDPR, all'articolo 5, stabilisce chiaramente il principio di limitazione della conservazione (comma e), e all'articolo 17 si occupa del diritto alla cancellazione. Entrambi gli articoli sollecitano le organizzazioni a definire e giustificare i tempi di conservazione sulla base di criteri specifici e documentabili. È importante che le aziende possiedano procedure che risultino trasparenti e adeguatamente documentate per dimostrare il rispetto di tali requisiti.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.