Stefano Petrussi, avvocato e partner di Floreani Studio Legale Associato, approfondisce il tema.
«I dati personali trattati dal distributore assicurativo (si pensi, in particolare, ai dati relativi alla clientela) devono essere conservati per un arco di tempo coerente con gli scopi per i quali vengono utilizzati (oltre il quale devono essere cancellati o resi anonimi) e non indefinitamente». A ricordarlo è Stefano Petrussi, avvocato e partner di Floreani Studio Legale Associato, in una nota di approfondimento.
Petrussi ha evidenziato come la scadenza dei dati sia variabile a seconda dei trattamenti posti in essere dal distributore assicurativo e delle finalità di trattamento perseguite. «In diverse fattispecie», ha osservato, «è la legge che stabilisce dei criteri di conservazione; si pensi, ad esempio, all’obbligo di conservazione per dieci anni per gli adempimenti contabili e fiscali. In altre casistiche (in particolare, con riferimento allo svolgimento di attività promozionali e di profilazione), invece, i termini massimi di conservazione dei dati personali sono determinati dal titolare del trattamento in virtù del principio di “accountability” partendo dallo screening dei criteri di data retention che il Garante aveva individuato prima dell’avvento del Gdpr (fissati rispettivamente, in 24 e 12 mesi)».
L’authority, tra l’altro, è intervenuta in diverse occasioni sul tema, ribadendo la necessità di definire preventivamente i tempi di conservazione dei dati per le singole finalità nel registro dei trattamenti e nell’informativa rilasciata all’interessato. Per Petrussi «diventa necessario per il distributore assicurativo, da un lato, indicare puntualmente i termini di conservazione dei dati (e i relativi criteri utilizzati per determinarli) nel proprio registro dei trattamenti e nell’informativa rilasciata all’interessato e, dall’altro, dotarsi di una politica di data retention per definire, documentare e aggiornare le regole stabilite per la conservazione dei dati». (fs)
© RIPRODUZIONE RISERVATA
