Data: 14-10-2020
Il Garante della Privacy con provvedimento n. 181 del 15 ottobre 2020 si è espresso in merito al tempo di conservazione dei dati raccolti per finalità di marketing e profilazione.
Il Garante, prima dell’entrata in vigore del GDPR, con un provvedimento del 2015 in tema di fidelity card, ormai superato, aveva individuato il tempo massimo di conservazione dei dati per marketing e profilazione rispettivamente in 24 e 12 mesi dal consenso rilasciato, trascorso il quale vi era l’obbligo di cancellazione ovvero di trattamento dei dati non riconducibile alla persona cui erano riferiti.
A fronte dell’entrata in vigore del regolamento Europeo n. 679/2016, il Garante è tornato ad esprimersi in materia, discostandosi dal proprio precedente orientamento.
Infatti, nel provvedimento n. 181 il Garante, alla luce del principio di accountability, ha precisato come il tempo di conservazione non sia un parametro sufficiente per valutare l’idoneità della base giuridica dovendo piuttosto indagare la validità del consenso prestato fin dall’origine e la sua mancata revoca.
Pertanto, spetta al titolare del trattamento decidere il tempo di conservazione dei dati individuando in ogni caso un arco temporale, anche eventualmente superiore ai 12 o 24 mesi, che sia idoneo e proporzionale alle finalità perseguite avendo cura in ogni caso di dichiararlo nell’informativa fornita al cliente.
È opportuno rammentare che il Garante, pur astenendosi dall’indicare un termine di conservazione ha il potere e dovere di effettuare verifiche in merito ed ipotesi di accertamento spetterà all’azienda fornire idonee motivazioni sul periodo di tempo scelto e sulle valutazioni preliminari operate essendo in alcuni casi utile mostrare al all’Autorità l’eventuale valutazione di impatto privacy redatta a fronte del rischio elevato al quale i dati personali risultano maggiormente esposti a fronte del rilevante lasso di tempo di conservazioni prescelto.