I dati personali trattati dall’intermediario assicurativo (in particolare, i dati relativi alla clientela, ai dipendenti, ai collaboratori e ai fornitori) non possono essere conservati indefinitamente ma per un arco di tempo coerente con gli scopi per i quali vengono utilizzati, oltre il quale devono essere cancellati (o resi anonimi).
In particolare, la “scadenza” dei dati varia a seconda dei trattamenti posti in essere dal distributore assicurativo e delle finalità di trattamento perseguite. In diverse fattispecie è la legge che stabilisce dei criteri di conservazione; si pensi, ad esempio, all’obbligo di conservazione per dieci anni per gli adempimenti contabili e fiscali.
In altre casistiche (in particolare, con riferimento allo svolgimento di attività promozionali e di profilazione), invece, i termini massimi di conservazione dei dati personali sono determinati dal titolare del trattamento in virtù del principio di “accountability” partendo dallo screening dei criteri di data retention che il Garante aveva individuato prima dell’avvento del GDPR (fissati rispettivamente, in ventiquattro e dodici mesi).
Ecco che, quindi, diventa necessario per il distributore assicurativo, da un lato, indicare puntualmente i termini di conservazione dei dati (e i relativi criteri utilizzati per determinarli) nel proprio registro dei trattamenti e nell’informativa rilasciata all’interessato e, dall’altro, dotarsi di una politica di data retention per definire, documentare e aggiornare le regole stabilite per la conservazione dei dati.
| P. IVA 02917600302 |