Skip to content

Periodo di conservazione dei dati: ciascun dato deve avere il proprio periodo di conservazione, determinato dal titolare in base alla finalità.

I dati personali non possono essere conservati a tempo indeterminato: un periodo di conservazione deve essere determinato dal titolare del trattamento in base alla finalità che ha portato alla raccolta di tali dati. Questo principio di conservazione limitata dei dati personali, è previsto dal GDPR e dalla legge sulla protezione dei dati.

Le domande giuste da porsi:

  • Fino a quando ho davvero bisogno dei dati per raggiungere l’obiettivo prefissato?
  • Ho l’obbligo legale di conservare i dati per un certo periodo di tempo?
  • Devo conservare alcuni dati per proteggermi da possibili contenziosi? Quale?
  • Fino a quando posso far valere questo ricorso in tribunale?
  • Quali informazioni devono essere archiviate? Per quanto?
  • Quali sono le regole di cancellazione dei dati.
  • Quali sono le regole di archiviazione dei dati?

Il ciclo di vita dei dati

Per il medesimo trattamento i dati personali seguono fasi successive. Parliamo del “ciclo di vita” dei dati personali. Questo ciclo ha tre fasi:

  1. Conservazione nel database attivo 

Questo è il tempo necessario per raggiungere la finalità (finalità del trattamento) che ha giustificato la raccolta/registrazione dei dati. Ad esempio, in un’azienda, i dati di un candidato non prescelto verranno conservati per un massimo di 2 anni (a meno che non ne richieda la cancellazione) dall’ufficio risorse umane.

In pratica, i dati saranno poi facilmente accessibili nell’immediato ambiente di lavoro per le funzioni operative preposte a tale trattamento (es. l’ufficio risorse umane per le operazioni di reclutamento);

  1. Archiviazione intermedia 

I dati personali non sono più utilizzati per il raggiungimento dell’obiettivo prefissato (“archivi chiusi”) ma hanno comunque un interesse amministrativo per l’organizzazione (es: gestione di un eventuale contenzioso, ecc.) o devono essere conservati per rispondere ad un obbligo di legge (per ad esempio, i dati di fatturazione devono essere conservati per dieci anni in applicazione del Codice di Commercio, anche se l’interessato non è più cliente). 

I dati potranno poi essere consultati ad hoc e motivati ​​da soggetti specificatamente autorizzati;

  1. Archiviazione finale 

Per il loro “valore” e interesse, alcune informazioni vengono archiviate in modo definitivo e permanente.

A differenza dell’archiviazione attiva del database, gli ultimi due passaggi non vengono implementati sistematicamente. La loro necessità dovrà essere valutata per ogni trattamento e, per ciascuna di queste fasi, sarà effettuato uno smistamento tra i dati.

Individuazione del periodo di conservazione dei trattamenti

La definizione del periodo di conservazione rientra nell’analisi di conformità che il titolare del trattamento deve effettuare per il suo trattamento.

In alcuni casi, il periodo di conservazione è fissato dalla normativa di legge.

Tuttavia, per molte operazioni di trattamento dei dati, il periodo di conservazione non è fissato dal testo. Spetta quindi al Titolare del trattamento determinarlo in base alla finalità del trattamento.

Una guida pratica  

Questa guida è destinata a tutti i professionisti, qualunque sia il loro settore (pubblico o privato) e qualunque sia la dimensione della loro struttura.

La finalità di tali archivi è quella di facilitare la ricerca della durata rilevante, effettuata dal titolare del trattamento.

Sotto forma di tabelle, presentano, per le elaborazioni più ricorrenti nel settore di riferimento, le fasi di vita dei dati (database attiva, archiviazione anche intermedia).

Le durate indicate per ciascuna delle fasi di vita dei dati sono:

  • obbligatorio, perché imposto da un testo legislativo o regolamentare;
  • raccomandato rispetto alla dottrina della CNIL (ex norme semplificate o autorizzazioni uniche, riferimenti settoriali, raccomandazioni, ecc.), costituiscono poi un punto di riferimento dal quale il titolare può discostarsi, previa documentazione della sua scelta.

Tale strumento è stato concepito come una base di lavoro, a partire dalla quale il titolare del trattamento può effettuare la propria analisi, secondo le specificità del trattamento in questione e lo specifico contesto della struttura.

Documentazione allegata

Condividi:

Facebook
Twitter
Pinterest
LinkedIn

Comments are closed for this article!

Dal Blog

Articoli Correlati

Il Referente interno

Mansioni riservate alla persona di riferimento e collegamento, tra il Responsabile della Protezione Dati ed il Titolare. Al Referente Privacy sono attribuite almeno le seguenti

Nominare un DPO, 15 buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, il DPO, sapere perchè e quando nominarlo è importante. Ecco dei buoni

Glossario GDPR

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che

Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.