I dati personali trattati dal distributore assicurativo (si pensi, in particolare, ai dati relativi alla clientela)devono essere conservati per un arco di tempo coerente con gli scopi per i quali vengono utilizzati(oltre il quale devono essere cancellati o resi anonimi) e non indefinitamente.
🔎 In particolare, la “scadenza” dei dati varia a seconda dei trattamenti posti in essere dal distributore assicurativo e delle finalità di trattamento perseguite. In diverse fattispecie è la legge che stabilisce dei criteri di conservazione; si pensi, ad esempio, all’obbligo di conservazione per dieci anni per gli adempimenti contabili e fiscali.
🔎 In altre casistiche (in particolare, con riferimento allo svolgimento di attività promozionali e di profilazione), invece, i termini massimi di conservazione dei dati personali sono determinati dal titolare del trattamento in virtù del principio di “accountability” partendo dallo screening dei criteri di data retention che il Garante aveva individuato prima dell’avvento del GDPR (fissati rispettivamente, in ventiquattro e dodici mesi).
🔎 Nei mesi scorsi, l’Autorità è intervenuta in diverse occasioni sul tema: a titolo di esempio, si menziona il provv. n. 348 del 20 ottobre 2022 (doc. web n. 9825667) e il provv. n. 430 del 15 dicembre 2022 riguardante un broker assicurativo) con il quale il Garante ha ribadito la necessità di definire preventivamente i tempi di conservazione dei dati per le singole finalità (e i relativi criteri utilizzati per determinarli) nel registro dei trattamenti e nell’informativa rilasciata all’interessato.
👉 Ecco che, quindi, diventa necessario per il distributore assicurativo, da un lato, indicare puntualmente i termini di conservazione dei dati (e i relativi criteri utilizzati per determinarli) nel proprio registro dei trattamenti e nell’informativa rilasciata all’interessato e, dall’altro, dotarsi di una politica di data retention per definire, documentare e aggiornare le regole stabilite per la conservazione dei dati.
| P. IVA 02917600302 |