Il periodo di conservazione dei dati deve sempre essere indicato nelle informative privacy e nel registro dei trattamenti. È opportuno, quindi, che ciascun Titolare del trattamento predisponga una “politica di conservazione dei dati” recante indicazioni operative sulle modalità e sui tempi massimi di conservazione dei documenti generati e/o custoditi, relativi agli interessati (dipendenti e collaboratori, clienti, fornitori, utenti di siti web, ecc.).

I principi fondamentali

Occorre tenere in mente due princìpi di partenza:
1.   principio della limitazione della conservazione, secondo cui l’arco temporale nel quale i dati possono essere conservati deve essere rapportato alle finalità specifiche per le quali sono stati raccolti;
2.    principio di minimizzazione del trattamento, secondo cui devono essere raccolti e trattati solo i dati personali nei limiti di quanto necessario per il raggiungimento delle finalità espressamente individuate.

Gli archivi cartacei ed elettronici

I dati sono generalmente conservati in archivi che si distinguono in cartacei ed elettronici. Per gli archivi elettronici il più delle volte non è possibile garantire una cancellazione/distruzione completa, a differenza di come avviene con il dato cartaceo che può essere distrutto, ad esempio, con un trita-documenti.

Criteri di conservazione

Ecco alcuni tempi di conservazione (alcuni dei quali non ufficiali) da tenere presenti per alcune tipologie di dati e di trattamenti:
-    tenuta delle scritture contabili: come da obblighi di legge, devono essere conservate per 10 anni (art. 2220 c.c.);
-    settore del marketing, con specifico riferimento alle comunicazioni commerciali, il Garante italiano ha stabilito i tempi di conservazione in 24 mesi dalla registrazione dei dati personali;
-    selezione del personale, con riferimento all’acquisizione dei CV di candidati per posizioni lavorative: il candidato può provvedere all’aggiornamento della candidatura entro 45 giorni dall’invio, trascorsi i quali si dovrà procedere alla cancellazione dei dati; al massimo, l’azienda potrebbe conservare il CV del candidato non selezionato per non oltre i 6 mesi da quella selezione;
-    posta elettronica dei dipendenti: il Garante ha sanzionato la conservazione illimitata dei messaggi di posta elettronica dei dipendenti anche dopo la cessazione del rapporto di lavoro con l’azienda. Ragion per cui nell'ultima ipotesi e in altre analoghe, ove sono assenti precisi e definiti limiti di conservazione dei dati, è opportuno che il Titolare definisca in modo autonomo specifici tempi di conservazione, bilanciando i propri interessi alla conservazione dei dati e il rispetto dei princìpi sulla protezione dei dati illustrati in apertura.

Ha già adottato una politica sui tempi di conservazione dei dati per la tua organizzazione? Hai bisogno di professionisti che ti aiutino a definire una policy ben strutturata? Contattaci!