Per molto tempo si è pensato che bastasse inserire una frase generica per rispettare il GDPR. Espressioni come “i dati saranno conservati solo per il tempo necessario” sono comparse in moltissime informative, spesso copiate senza una reale valutazione. Il risultato? Nessuna chiarezza su cosa significhi davvero conservare i dati né su quando questi dovrebbero essere cancellati. È il tema della data retention, ovvero del periodo di conservazione dei dati personali.
Con “dati personali” si intende qualsiasi informazione che, direttamente o indirettamente, può ricondurre a una persona fisica: nome, email, numero di telefono, indirizzo IP, coordinate GPS, ma anche dati relativi alla salute, alle abitudini di consumo, alle preferenze o al comportamento online. Un ambito ampio e spesso sottovalutato, ma fondamentale per comprendere le responsabilità di chi tratta queste informazioni. Ora il Garante per la Privacy ha deciso di intervenire.
Il principio di limitazione della conservazione dei dati è sempre stato previsto dal GDPR. Ma per anni è stato ignorato, raggirato, aggirato con formule comode e poco impegnative. Due provvedimenti del Garante per la Privacy, rivolti a grandi aziende del food delivery, hanno segnato una linea di demarcazione netta: la conservazione dei dati personali non può più essere lasciata al caso o coperta da frasi vaghe.
Nel 2021, il Garante ha sanzionato Foodinho per 2,6 milioni di euro. L’azienda trattava una grande quantità di dati dei rider, raccolti direttamente o generati da sistemi automatici: dati anagrafici, geolocalizzazione, feedback, cronologia degli ordini, interazioni con l’algoritmo. L’informativa consegnata agli interessati affermava che i dati sarebbero stati conservati “per il tempo strettamente necessario a conseguire le finalità” e, in ogni caso, “non oltre la cessazione del rapporto di collaborazione”.
Due le violazioni principali:
Il Garante ha quindi sanzionato non solo l’uso di un linguaggio impreciso, ma anche la totale assenza di un meccanismo concreto per attuare quanto dichiarato.
A pochi mesi di distanza, un secondo provvedimento ha colpito Deliveroo con una sanzione di 2,5 milioni di euro. L’informativa fornita ai rider conteneva la formula: “non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”. Anche in questo caso, il Garante ha contestato la genericità della dichiarazione, che rende impossibile all’interessato capire quanto durerà la conservazione dei propri dati.
Non basta più scrivere un criterio di conservazione. Deve essere chiaro, comprensibile, verificabile. E, soprattutto, deve essere attuato. La violazione non sta solo nell’uso di frasi generiche, ma nella mancanza di una procedura tecnica e organizzativa in grado di assicurare la cancellazione o l’anonimizzazione dei dati al termine del periodo previsto.
Questi due provvedimenti non si limitano a colpire due aziende: rappresentano un messaggio forte a tutti i titolari del trattamento. La data retention non è più un’appendice burocratica, ma un elemento centrale della compliance al GDPR.
Il concetto, in teoria, è semplice: stabilire per quanto tempo conservare i dati personali. Nella pratica, però, è una delle componenti più trascurate del trattamento. La data retention non è una formula da inserire nelle informative, ma un processo di valutazione dettagliata su ogni trattamento che si intende effettuare.
Per costruire una politica coerente e legittima, servono risposte concrete a domande fondamentali:
Senza queste risposte, non esiste alcuna base reale per definire tempi di conservazione compatibili con il GDPR.
L’articolo 5 del Regolamento stabilisce che i dati personali devono essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti. È possibile prolungarne la conservazione solo per fini di interesse pubblico, ricerca scientifica o storica, o finalità statistiche, ma esclusivamente se vengono adottate misure tecniche e organizzative adeguate.
Non esiste un tempo “giusto” valido per tutti. Ogni titolare del trattamento deve fare una valutazione autonoma, caso per caso, nel rispetto del principio di accountability.
Formule come:
non forniscono alcuna indicazione reale. Sono ambigue, non verificabili, non trasparenti e quindi non conformi al GDPR.
Una dichiarazione corretta deve invece contenere un termine preciso oppure un criterio chiaro, ad esempio:
“Conserviamo i CV per 12 mesi dalla ricezione, salvo diverso consenso dell’interessato”.
E soprattutto: deve essere rispettata tramite un sistema, manuale o automatico, che ne garantisca l’effettiva applicazione.
Indicare un termine è solo il primo passo. Deve esistere una procedura strutturata per applicarlo: un sistema interno che consenta di cancellare, anonimizzare o bloccare i dati scaduti. Senza questo passaggio, l’informativa rimane una dichiarazione formale priva di valore sostanziale.
Il quadro normativo si evolve rapidamente. La Direttiva NIS2 e la legge n. 90/2024 hanno alzato l’asticella in termini di responsabilità e controllo. La data retention non può più essere improvvisata o rimandata. Chi tratta dati personali è responsabile, e i controlli si spingono sempre più in profondità, anche tra le righe delle informative.
La conformità al GDPR non si ottiene con frasi generiche, ma con scelte consapevoli, criteri precisi e sistemi efficaci. Copiare soluzioni standard non protegge. Serve una strategia vera, costruita su misura e sostenuta da procedure verificabili.
Se vuoi verificare se la tua politica di conservazione dei dati è conforme al GDPR o se hai bisogno di supporto per definirne una corretta, prenota una videocall gratuita con i nostri esperti legali. Analizzeremo insieme la tua situazione e ti forniremo indicazioni chiare e operative.
