Il tema della conservazione dei dati personali per finalità di mail marketing è stato al centro di recenti interventi del Garante per la protezione dei dati personali. Il principio generale sancito dal Regolamento generale sulla protezione dei dati (GDPR) è chiaro: i dati devono essere conservati solo per il tempo necessario a raggiungere gli scopi per cui sono stati raccolti. Tuttavia, la pratica mostra che molte aziende tendono a estendere eccessivamente i tempi di retention, con il rischio di incorrere in violazioni e sanzioni.
Il GDPR e il principio di limitazione della conservazione
L’articolo 5, paragrafo 1, lettera e) del GDPR stabilisce che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario rispetto alle finalità per le quali sono trattati”. Ciò significa che la conservazione a tempo indeterminato o per durate eccessivamente lunghe è vietata. Ciò implica che, al termine del rapporto con il cliente o dell’ultima interazione significativa, i dati devono essere cancellati o resi anonimi, a meno che non sussistano obblighi normativi che ne impongano la conservazione per periodi più lunghi.
Cosa dicono i provvedimenti del Garante sulla conservazione dei dati per il mail marketing?
Dai recenti provvedimenti emerge una costante: la conservazione dei dati personali per finalità di marketing e newsletter deve essere limitata a un periodo ragionevole. In particolare:
- Nel provvedimento del 18 luglio 2023, il Garante ha contestato a una società la mancata indicazione chiara dei tempi di conservazione, evidenziando che conservare i dati “fino alla revoca del consenso” non è sufficiente, poiché manca un criterio oggettivo di durata.
- Nel provvedimento del 22 febbraio 2024, è stata rilevata una retention eccessiva di 10 anni per dati raccolti a fini di marketing, considerata sproporzionata rispetto alle finalità dichiarate.
Dove trovare le informazioni sulla conservazione dei dati nei tuoi documenti?
Di norma, queste informazioni sono riportate all’interno dell’informativa sulla privacy pubblicata sui siti web aziendali, nei termini e condizioni dei servizi digitali o nei contratti di adesione alle newsletter. Le aziende sono tenute a specificare in modo chiaro il periodo di conservazione dei dati personali, indicando se e quando tali dati verranno eliminati o anonimizzati.
Qual è la risposta corretta?
Alla luce dei provvedimenti, il periodo corretto per la conservazione dei dati personali per finalità di marketing, inclusi quelli raccolti tramite newsletter, dovrebbe essere compreso tra 12 e 24 mesi dall’ultima interazione significativa con l’utente (ad esempio, l’ultima email inviata e aperta, oppure un click su un link). In assenza di interazioni, i dati devono essere cancellati o anonimizzati.
Azione richiesta: cosa dovete fare adesso?
Le aziende che effettuano trattamenti di dati per finalità di mail marketing devono:
- Verificare le proprie informative privacy, assicurandosi che contengano una chiara indicazione del tempo di conservazione dei dati.
- Controllare le proprie policy interne di retention, allineandole a quanto indicato dai provvedimenti del Garante.
- Aggiornare le liste di contatti, eliminando i dati che superano il periodo massimo di conservazione consentito.
- Documentare le scelte adottate, in ottica di accountability, per dimostrare la conformità ai principi del GDPR.
