La nostra Autorità Garante in un recente provvedimento ha sanzionato una società (provv. n. 188 del 27 aprile 2023, doc. web n. 9902472) per aver conservato per un arco di tempo di dieci anni i dati anagrafici degli utenti disiscritti dal servizio newsletter. Nella fattispecie in parola, in particolare, era emerso che l’azienda aveva conservato quasi 250 mila dati di ex (iscritti) anche a seguito della disattivazione da parte dei medesimi dal servizio.Secondo il Garante, la durata decennale della conservazione dei dati (soprattutto qualora contenente dettagli riferiti a gusti e preferenze degli interessati) è da ritenersi palesemente eccessiva rispetto alla misura di 12 mesi/24 mesi, indicata, in relazione alle finalità di profilazione o marketing nel provvedimento generale “Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” – 24 febbraio 2005, doc. web n. 1103045,
Ecco che, quindi, diventa necessario per i titolari del trattamento, da un lato, indicare puntualmente i termini di conservazione dei dati (e i relativi criteri utilizzati per determinarli) nel proprio registro dei trattamenti e nell’informativa rilasciata all’interessato e, dall’altro, dotarsi di una politica di data retention per definire, documentare e aggiornare le regole stabilite per la conservazione dei dati.
| P. IVA 02917600302 |