Tra le varie tematiche con cui si confrontano i “Titolari” del trattamento dei dati la c.d. “data retention”, ossia il termine di conservazione dei dati, assume certamente un ruolo centrale.
Tale centralità rileva sotto due punti di vista: 1) poter stabilire la durata nel rispetto del principio della “limitazione della conservazione” (art. 5, par. 1 lett. e) del GDPR) e 2) indicare tale tempistica nell’informativa (art. 13, par. 2, lett. a) del GDPR).
Il “punto di partenza”: le “regole” del 2005
La questione non è nuova ma è pur sempre attuale.
Il Garante per la Protezione dei Dati Personali nel 2005 ha fissato le “Regole per i programmi di fidelizzazione” (provvedimento 24 febbraio 2005, doc. web. 1103045).
Nell’ambito della allora crescente (e ormai “matura”) utilizzazione di carte o tessere di fidelizzazione volte a creare un rapporto duraturo con la clientela per acquisti e servizi il Garante ha adottato regole riguardanti “in termini generali tutti i tipi di “carte” nel settore della c.d. grande distribuzione … oppure on-line, nominativamente ovvero assegnando un codice identificativo”.
Alla luce delle indicazioni contenute nel Codice in materia di protezione dei dati personali (D. Lgs 30 giugno 2003, n. 196) nel provvedimento il Garante ripercorre i temi legati a: i) necessità e proporzionalità; ii) finalità di “fidelizzazione” in senso stretto, di “profilazione” della clientela e di “marketing” diretto e iii) informativa agli interessati per giungere alla tematica dei tempi di conservazione.
Il Garante, in applicazione del principio di proporzionalità, prescrive ai titolari del trattamento l’identificazione di termini massimi di conservazione dei dati. Tali termini sono: 12 mesi per la profilazione e 24 per il marketing.
L’entrata in vigore del GDPR: l’ “irrilevanza” del tempo trascorso
Nel corso del 2020 il Garante per la protezione di dati personali è tornato sul tema del trattamento dei dati personali con finalità promozionali. Con il provvedimento del 15 ottobre 2020 (doc. web. 9486485) l’Autorità, ponendo l’attenzione sul consenso dell’interessato, afferma che: “Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
In tale provvedimento, seppure focalizzato sul tempo trascorso dalla manifestazione del consenso, il Garante indica l’ “irrilevanza” del tempo trascorso purché siano stati chiariti in sede di informativa i tempi di conservazione stabiliti dal titolare.
In tale provvedimento, dunque, il Garante sembra aver accolto la rilevanza del principio di “accountability” del Titolare fissato dal GDPR (art. 6, par. 2 del GDPR) al quale compete ogni valutazione (assumendosi poi la relativa “responsabilità”) in relazione ai termini di conservazione dei dati.
Lo stato dell’arte: il ritorno all’ “antico”
Attesa la rilevanza del tema della “conservazione”, recentemente il Garante è tornato ancora ad affrontare il tema in una serie di provvedimenti. L’ultimo (in ordine di tempo) è quello del 22 febbraio 2024 (doc. web. 9995808).
A tale proposito scrive l’Autorità: “Al riguardo, si osserva, come di recente ribadito da questa Autorità, che “il provvedimento del Garante del 24 febbraio 2005 “Fidelity card´ e garanzie per i consumatori”, sebbene non più di carattere vincolante, è da considerarsi ancora applicabile con valore di linea guida e pertanto lo è anche la tempistica ivi prevista (24 mesi per i dati relativi al marketing; 12 mesi per i dati relativi alla profilazione). Peraltro, pur valorizzando il principio di accountability, anche con riferimento alla delicata materia della data retention, non si può certo giungere alla conclusione che un titolare, in base a tale principio che necessita di essere contemperato con gli altri fondamentali principi previsti dal Regolamento- possa scostarsi in modo eccessivo rispetto alle suddette previsioni, senza poter incorrere nella violazione del principio di limitazione della conservazione (v. art. 5, par.1, lett. d) del Regolamento). Ad esempio, è da ritenersi non congrua la conservazione dei dati relativi al marketing fino alla data della revoca del consenso al trattamento, ai sensi dell’art. 7 del Regolamento, anche considerato che l’interessato potrebbe anche non mutare mai la propria volontà o mantenerla invariata per anni” (provv. 18luglio 2023, n. 321, doc. web n. 9920942; v. anche provv.ti 8 giugno 2023, n. 253, doc. web n. 9909907; 7aprile 2023, n. 188, doc. web n. 9902472; 20 ottobre 2022, n. 348, doc. web n. 9825667)”.
Conclusione
Con riferimento alla data retention, pur valorizzando la centralità dell’ “accountability” del titolare, in una prospettiva di bilanciamento, il Garante conclude confermando le tempistiche previste del 2005 (24 mesi per i dati relativi al marketing; 12 mesi per i dati relativi alla profilazione). Il provvedimento del 2005, seppure non più vincolante, continua a operare come “Linea Guida” in relazione al periodo di conservazione dei dati.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.