La procedura di Data retention del GDPR.

L’Avv. Alessandro Del Ninno ha partecipato in qualità di relatore al ciclo di workshop Paradigma dedicato alla redazione delle procedure GDPR, intervenendo in particolare nel modulo del 10 marzo 2026 sulla procedura di data retention. L’incontro è stato dedicato alla disciplina della conservazione, archiviazione e cancellazione dei dati personali, con un approccio operativo volto a tradurre i principi del GDPR in regole organizzative, tecniche e documentali concretamente applicabili nei processi aziendali. 

Nel corso della relazione, l’Avv. Del Ninno ha chiarito anzitutto la distinzione tra conservazione e cancellazione dei dati personali, evidenziando come si tratti di due fasi diverse del ciclo di vita del dato, ciascuna caratterizzata da finalità, misure e presìdi specifici. Da un lato, la conservazione richiede criteri di selezione, accessi differenziati, protezione rafforzata, archiviazione e gestione del ciclo di vita; dall’altro, la cancellazione impone misure effettive e dimostrabili per garantire che, una volta decorso il termine di retention o venuta meno la base giuridica del trattamento, l’interessato non sia più identificabile né reidentificabile.

L’intervento ha poi approfondito i principali riferimenti normativi del GDPR rilevanti in materia, soffermandosi in particolare sul principio di limitazione della conservazione, sugli obblighi di trasparenza nelle informative, sul diritto alla cancellazione, sul rapporto con il registro dei trattamenti, nonché sulla necessità di regolare correttamente, anche nei contratti con i responsabili esterni, la restituzione o cancellazione dei dati al termine del servizio. È stato inoltre evidenziato che la data retention non può essere impostata in modo astratto o uniforme, ma deve essere costruita caso per caso, in funzione delle finalità del trattamento, della base giuridica, degli obblighi normativi applicabili, dei termini di prescrizione e delle esigenze di difesa o accountability. 

Particolare attenzione è stata dedicata alla struttura concreta della procedura aziendale di data retention. L’Avv. Del Ninno ha illustrato l’importanza di predisporre un registro dei termini di conservazione collegato ai trattamenti effettivi, agli applicativi utilizzati, agli archivi coinvolti e ai fornitori che ospitano o gestiscono i dati. In questa prospettiva, la procedura è stata presentata come uno strumento di governance che deve essere non solo conforme, ma anche eseguibile e auditabile, attraverso evidenze verificabili quali log di cancellazione, ticket operativi, attestazioni dei fornitori, versionamento delle regole e controlli periodici di conformità.

Infine, l’intervento ha affrontato anche i profili pratici più delicati, tra cui la distinzione tra archiviazione e backup, la gestione delle copie residue, la cancellazione nei sistemi satellite, l’anonimizzazione irreversibile quale alternativa alla distruzione, nonché la definizione dei ruoli interni coinvolti nell’attuazione della procedura, dal titolare alle funzioni operative, all’IT, alla security, fino ai responsabili esterni del trattamento. Attraverso questo modulo, l’Avv. Alessandro Del Ninno ha fornito ai partecipanti una metodologia concreta per strutturare una policy di data retention realmente efficace, idonea a presidiare il rischio privacy lungo tutto il ciclo di vita del dato personale.

Programma del Convegno