Uno dei principi cardine del GDPR è la limitazione della conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali son stati raccolti. Benchè nel testo del Regolamento non si lasci spazio all’interpretazione, questo resta uno dei principi di più difficile applicazione ( e ognuno faccia mente locale ai suoi Database per convincersene).
Così è stato anche per il Gruppo Benetton, cui il garante ha comminato 240mila € si sanzione per il mancato adeguamento alla prescrizione normativa.
In particolare, a seguito di accertamenti, è emersa l’indicazione di periodo di data retention superiore a due anni per i titolari di carte fedeltà e la non cancellazione dai sistemi di anagrafica di tutti gli ex clienti che non avessero mai chiesto la cancellazione del loro account o preteso l’anonimizzazione.
La durata indicata dalla Società per i detentori di carte fedeltà era pari a dieci anni per finalità di marketing o di profilazione, da ritenersi eccessiva rispetto ai 24 mesi indicati dal Garante col suo provvedimento.
Con quello stesso provvedimento il Garante ha sottolineato la necessità di definire di un termine di conservazione certo e pertinente. Questo perché riducendo la mole di dati inutilmente conservati nei nostri archivi, si riduce anche il rischio collegato a distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. In generale il Garante non entra nel merito della quantificazione dei tempi di conservazione che possono variare in base alla finalità del trattamento ed alla mole di dati raccolti, ma nel caso delle attività di marketing e profilazione l’autorità è stata chiara: 12 mesi per la profilazione e 24 mesi per il marketing ( si veda il cosiddetto provvedimento delle “Fidelity Card”)
Al contrario, ad esempio, nel caso di un contratto, il titolare può conservare i dati del cliente per eventuali controlli fiscali o societari fino a dieci anni, in quanto giustificato dalla base giuridica.
La limitazione a 24 mesi della validità del consenso per finalità di marketing spesso però si scontra con le necessità aziendali, che spesso la fanno apparire eccessivamente ridotta e impongono il ricorso a soluzioni alternative quali ad esempio quelle adottate dal Gruppo Benetton che aveva indicato nelle proprie informative che i “servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo, in considerazione anche della tipologia di prodotti offerti dalla Società e della frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo”. Ad aggravare la questione il fatto che i dati conservati dal gruppo non riguardavano solo il contatto del cliente, ma anche ricchi dettagli riferiti ai gusti e alle preferenze e quindi alle abitudini di consumo del cliente.
Più in linea con i dettami del regolamento e nel rispetto del principio di accountability sarebbe invece ricorrere ad una Valutazione di impatto che permetterebbe di capire se è possibile aumentare considerevolmente la durata di conservazione.
In termini di accountability vediamo quale potrebbe essere un percorso per determinare il periodo di conservazione dei dati:
- La scelta dovrebbe essere giustificata sulla base dei tempi medi per portare a termine l’attività che si svolge.
- Bisognerebbe distinguere tra le varie attività per cui si determina il periodo di conservazione. Si parla di finalità di marketing sia quando si inviano e-mail di recall, sia quando si invia una newsletter mensile. Queste e-mail hanno scopi diversi: far proseguire nell’acquisto, tenere informati su prodotti e/o servizi simili o acquisire maggiori dati sui potenziali clienti. La società dovrebbe ragionare in modo più granulare in merito a queste informazioni.
- E’ necessario ridurre al massimo la mole di dati esposta a potenziali attacchi sia avvalendosi di tempi di conservazione più ristretti sia valutando l’adozione di idonee misure di sicurezza che possano ridurre al minimo il rischio in caso di attacco.
Infine, è necessario ricordare che il periodo di conservazione deve essere specificato sia nel registro dei trattamenti che nell‘informativa privacy e che sarebbe consigliabile la redazione di una policy interna in tema di data retention.
Lascia un commento