I dati personali trattati dal distributore assicurativo (si pensi, in particolare, ai dati relativi alla clientela) devono essere conservati per un arco di tempo coerente con gli scopi per i quali vengono utilizzati (oltre il quale devono essere cancellati o resi anonimi) e non indefinitamente.
La “scadenza” dei dati varia a seconda dei trattamenti posti in essere dal distributore assicurativo e delle finalità di trattamento perseguite. In diverse fattispecie è la legge che stabilisce dei criteri di conservazione; si pensi, ad esempio, alle tempistiche di conservazione dei documenti contrattuali assicurativi previsti dalla normativa IVASS o all’obbligo di conservazione per dieci anni per gli adempimenti contabili e fiscali.
In altre fattispecie (in particolare, con riferimento allo svolgimento di attività promozionali e di profilazione), invece, i termini massimi di conservazione dei dati personali sono determinati dal titolare del trattamento in virtù del principio di “accountability” partendo dallo screening dei criteri di data retention che il Garante aveva individuato prima dell’avvento del GDPR (fissati rispettivamente, in ventiquattro e dodici mesi).
Sul punto, occorre tenere conto, infine, che l’Autorità (provvedimento n. 430 del 15 dicembre 2022 riguardante un broker assicurativo) ha ribadito di recente la necessità di definire preventivamente i tempi di conservazione dei dati per le singole finalità (e i relativi criteri utilizzati per determinarli) nel registro dei trattamenti e nell’informativa rilasciata all’interessato.
| P. IVA 02917600302 |