La questione sul “corretto” periodo di conservazione dei dati personali raccolti per compiere operazioni di marketing è assai spinosa e non certo povera di dubbi.
E questo, innanzitutto, perché né il Regolamento n. 679/2016, né le linee guida dello EDPB (n. 5/2020) e nemmeno i provvedimenti del Garante per la protezione dei dati personali aiutano titolari e responsabili del trattamento nell’individuazione di tale tempo esatto o forniscono criteri precisi per individuarlo.
Sul tema della data retention, infatti, il Regolamento n. 679/2016 si limita a dire che i dati devono essere conservati in una forma che consenta l’individuazione dell’interessato per il tempo necessario al conseguimento delle finalità per cui sono stati trattati (principio di limitazione della conservazione).
Da qui i primi dubbi.
Ma, andiamo nel pratico.
A fronte di quanto disposto dal Regolamento n. 679/2016, in merito al principio di limitazione della conservazione, nelle operazioni di marketing, quale sarebbe il tempo corretto di conservazione dei dati personali?
Poniamo il caso che, in qualità di titolare del trattamento, ottengo il consenso al trattamento dei dati personali degli utenti del mio sito di commercio elettronico per comunicare, in seguito, una specifica iniziativa commerciale.
In questa circostanza, secondo le disposizioni del GDPR, sono tenuto a conservare i dati personali in una forma leggibile fino a quando non conseguo la finalità del trattamento, quindi fino a che non invio gli SMS o la email per informare di quella specifica offerta e l'operazione di marketing non si chiude del tutto, ma se ottengo il consenso alla trasmissione di offerte e promozioni in generale e/o il consenso alla profilazione da un utente, come mi muovo?
In questo caso, quale sarebbe il periodo corretto di conservazione dei dati, posto che, secondo il Regolamento, tale individuazione spetta alla responsabilità del titolare del trattamento e che questo termine deve essere comunicato all’interessato attraverso l’informativa?
Prima del GDPR, potevamo stare relativamente tranquilli, perché tale termine era stato indicato dal Garante che, con il suo provvedimento del 24 febbraio 2005 – cd. Provvedimento sulle fidelity card – aveva stabilito dei termini di conservazione dei dati personali fissi, ossia 24 mesi per finalità di marketing e di 12 mesi per finalità di profilazione, precisando che, laddove fosse necessario un periodo di conservazione maggiore, il titolare del trattamento poteva farne richiesta all’autorità, spiegandone i motivi e ottenendo una deroga.
Oggi, tuttavia, la situazione pare cambiata.
Infatti, il Garante, dopo l'entrata in vigore del GDPR, pare rimettere l’individuazione del tempo di conservazione corretto nelle mani del titolare, nei suoi provvedimenti più recenti, invece sembra tornare sui suoi passi.
Vediamo perchè.
Nel provvedimento n. 181 del 15 ottobre 2020, l'Autorità di controllo aveva basato il limite massimo del periodo di conservazione dei dati per finalità di marketing sul principio di autoresponsabilità (accountability) del titolare del trattamento, facendo riferimento alla revoca del consenso dell’interessato come termine ultimo, superando di fatto i limiti fissi stabiliti nel suo precedente del 2005.
In altri termini, secondo quanto emerge da quella decisione del Garante, i dati personali raccolti per finalità di marketing potevano essere conservati fino a che dura il consenso dell’interessato (quando il consenso è la base giuridica), posto che il consenso sia stato ottenuto secondo le disposizioni del Regolamento n. 679/2016 e quindi si tratti di un consenso specifico, libero, debitamente informato e tracciato.
Come si procedeva, dunque, in base a tale provvedimento per cercare quanto meno di avvicinarsi a ciò che veniva stabilito in esso dall’Autorità, la quale aveva ritenuto che è il titolare a dover valutare qual è il termine di conservazione corretto, utilizzando il criterio della revoca del consenso?
Si procedeva con una valutazione d’impatto doverosa a far emergere i criteri utilizzati per decidere il giusto termine di conservazione, per poi comunicarlo all’interessato nell’informativa privacy e, dopo un certo periodo, ad esempio, l’inattività dell’utente o una modifica nelle modalità di trattamento dei dati, si provvedeva a richiedere un nuovo consenso.
Oggi però il Garante fa di nuovo un passo indietro e nel suo più recente provvedimento, quello del 18 luglio 2023, in cui torna ad esprimersi sul periodo di conservazione dei dati personali per finalità di marketing, scrive nella motivazione della sua decisione, che i termini di conservazione dei dati di marketing, i quali, nel caso specifico, erano basati sulla revoca del consenso, “pur presupponendo che siano stati individuati dalla Società nell’esercizio della propria accountability, paiono comunque eccessivamente dilatati”.
E riprende a riferimento della decisione, i provvedimenti del 24 febbraio 2005 [doc. web 1103045] in cui vige, scrive oggi, la regola generale, riguardo ai tempi di conservazione, che è un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione.
Ricordando, altresì, che esistono alcuni eccezionali casi in cui il termine (in particolare, quello relativo all’attività di profilazione) aumentato (comunque fino a 7 anni e non fino a 10 o all’eventuale revoca del consenso), ma, sottolinea, si tratta del termine preso a riferimento da società-brand appartenenti al comparto del lusso, autorizzato dal Garante, peraltro in un ben diverso contesto socio-economico e tecnologico, a seguito di apposita richiesta di prior cecking e di una specifica istruttoria.
Quindi, cari titolari e responsabili del trattamento, si torna indietro (almeno così sembra, per il momento!), il termine di conservazione massimo per i dati personali ottenuti per finalità di marketing, non è più rimesso a valutazioni motivate del titolare del trattamento, in base alla regola della revoca del consenso, ma secondo le più recenti conclusioni del Garante, è di due anni per il marketing e di un anno per attività di profilazione, salvo che l’utente non abbia esercitato prima il suo diritto di opposizione, ritirando il proprio consenso; termini questi che possono essere dilatati fino all’eventuale revoca del consenso solo in casi eccezionali, nel caso di società brand, come scrive il Garante nel suo ultimo provvedimento, riprendendo il suo precedente del 2005.