2.1 KiB
Scheda n°14: Definisci un periodo di conservazione dei dati
I dati personali non possono essere conservati per un periodo di tempo indefinito: il periodo di conservazione deve essere determinato sulla base dello scopo del trattamento. Una volta che lo scopo è stato raggiunto, i dati devono essere archiviati (se esiste un obbligo di legge di conservazione), cancellati o anonimizzati (ad esempio, per produrne delle statistiche).
Cicli di conservazione dei dati
-
Il ciclo di conservazione dei dati personali può essere diviso in tre distinte fasi successive:
- il database attivo;
- l’archiviazione intermedia;
- l’archiviazione finale o la cancellazione.
-
I meccanismi per la cancellazione di dati personali dai database attivi assicurano che i dati siano conservati ed acceduti da parte dei servizi operativi solo per il tempo necessario al raggiungimento dello scopo del trattamento .
-
Assicurati che i dati non sono mantenuti in database attivi semplicemente catalogandoli come archiviati . I dati archiviati (archivio intermedio) devono essere accessibili solo a uno specifico servizio responsabile della loro cancellazione dall’archivio se necessario.
-
Assicurati di avere specificato dei modelli di accesso per i dati archiviati, perché l’accesso a un archivio deve avvenire solo per motivi specifici o eccezionali.
-
Se possibile, utilizza la stessa implementazione tanto per la cancellazione o l’anonimizzazione quanto per il diritto alla cancellazione (vedi scheda 13 sull’esercizio dei diritti), in modo da garantire un funzionamento omogeneo del tuo sistema.
Alcuni esempi di tempi di conservazione (validi in Francia)
-
I dati relativi agli stipendi o al computo orario degli impiegati possono essere conservati per 5 anni.
-
I dati in un archivio medico devono essere conservati per 20 anni.
-
I dati di un potenziale cliente che non risponde ai solleciti possono venire conservati per 3 anni.
-
I dati di log possono essere conservati per 6 mesi.