Protezione dei dati

Limitazione della conservazione art. 5 GDPR 2026: durate e politica di data retention

Limitazione della conservazione ex art. 5(1)(e) GDPR: per quanto tempo conservare i dati, durate tipiche per settore e come costruire una politica di conservazione.

Il principio di limitazione della conservazione, sancito dall’art. 5, par. 1, lett. e), del GDPR, impone che i dati personali siano conservati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. In concreto: non esiste una durata unica valida per tutti i dati, ma una durata per ciascuna finalità di trattamento, che si determina incrociando lo scopo del trattamento con gli obblighi di legge applicabili (fiscali, civilistici, giuslavoristici). Quando la finalità è esaurita e non c’è un obbligo di conservazione, i dati vanno cancellati o anonimizzati. La conservazione eccessiva è uno degli inadempimenti che il Garante contesta con maggiore frequenza, perché è visibile, documentabile e difficile da giustificare a posteriori.

In sintesi

  • L’art. 5, par. 1, lett. e), è un principio generale: nessun dato può essere conservato oltre il tempo necessario alla finalità.
  • La durata si fissa finalità per finalità, combinando lo scopo del trattamento con gli obblighi legali di conservazione.
  • Alcune durate sono imposte dalla legge (es. 10 anni per le scritture contabili, art. 2220 del Codice Civile); altre vanno stabilite dal titolare in modo motivato.
  • Al termine, i dati vanno cancellati o anonimizzati; la conservazione “per prudenza” oltre il termine è un inadempimento.
  • Le durate stabilite vanno documentate nel registro dei trattamenti e comunicate agli interessati nell’informativa.

Il principio dell’art. 5, par. 1, lett. e)

La limitazione della conservazione è uno dei principi cardine del trattamento, insieme a liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione, esattezza, integrità e riservatezza. La sua logica è semplice: un dato utile oggi diventa un rischio domani. Più a lungo si conserva un archivio, più aumentano la superficie di attacco in caso di violazione, il costo di gestione e la probabilità di trattare dati non più esatti o non più necessari.

Il principio è strettamente legato all’accountability: non basta rispettare le durate, occorre essere in grado di dimostrare come sono state fissate. Il considerando 39 richiede espressamente che il titolare stabilisca termini per la cancellazione o per la verifica periodica.

Come si fissa una durata di conservazione

Fissare una durata non è un atto arbitrario: è il risultato di un ragionamento in tre passaggi.

  1. Individuare la finalità. Ogni trattamento serve uno scopo (gestire un contratto, fatturare, fare marketing, selezionare personale). La conservazione è legittima finché lo scopo è attuale.
  2. Verificare gli obblighi di legge. Numerose norme impongono una conservazione minima: la disciplina fiscale e tributaria, il Codice Civile per le scritture contabili, la normativa giuslavoristica. In questi casi la durata è fissata dalla legge e non può essere ridotta.
  3. Definire il termine e la sorte finale del dato. Al termine, il dato va cancellato o anonimizzato. In molti casi è opportuno prevedere una fase intermedia di archiviazione ad accesso limitato, in cui il dato non è più in uso corrente ma viene conservato per adempiere a un obbligo o per esigenze difensive, con accesso ristretto.

La distinzione tra archiviazione corrente e archiviazione intermedia è fondamentale: un contratto scaduto non serve più alla gestione quotidiana, ma può dover essere conservato per il periodo di prescrizione dei diritti che ne derivano.

Tabella di durate tipiche in Italia

Le durate seguenti sono riferimenti pratici diffusi nell’esperienza italiana; ciascun titolare deve verificarle rispetto alla propria attività e agli obblighi di settore. Non sono un elenco esaustivo né un parere legale sul singolo caso.

Categoria di dati Durata tipica Fondamento / criterio
Documenti contabili, fatture, libri e scritture 10 anni Art. 2220 del Codice Civile; obblighi fiscali
Dati del rapporto di lavoro (cedolini, presenze) Fino a 10 anni dalla cessazione Prescrizione ordinaria dei diritti; obblighi contributivi
Curriculum di candidati non assunti Da alcuni mesi fino a un termine breve e motivato Finalità di selezione esaurita; consenso per usi futuri
Dati di clienti per la gestione del contratto Durata del contratto + periodo di prescrizione Finalità contrattuale ed esigenze difensive
Dati per marketing e newsletter Fino a revoca del consenso o inattività prolungata Consenso; verifica periodica dell’interesse
Dati di navigazione e log tecnici Termine breve e proporzionato Minimizzazione; finalità di sicurezza
Immagini di videosorveglianza Di norma 24-48 ore, fino a 7 giorni con motivazione Provvedimenti e FAQ del Garante sulla videosorveglianza

Il caso della videosorveglianza è emblematico: il Garante per la protezione dei dati personali indica come regola generale una conservazione limitata a poche ore o pochi giorni, e ammette termini più lunghi solo se motivati da specifiche esigenze (ad esempio la chiusura per festività o particolari rischi). Superare stabilmente i sette giorni senza giustificazione è un classico rilievo in sede di controllo.

Come costruire una politica di conservazione e cancellazione

Una politica di conservazione (data retention policy) trasforma il principio dell’art. 5 in regole operative. I suoi elementi essenziali sono:

  • Un inventario dei trattamenti con, per ciascuno, la finalità, la base giuridica e la durata di conservazione. È l’estensione naturale del registro dei trattamenti.
  • Regole di cancellazione o anonimizzazione automatica al raggiungimento del termine, per quanto possibile, così da non affidare la purga alla sola memoria delle persone.
  • La gestione dell’archiviazione intermedia: dove risiedono i dati archiviati, chi vi accede, per quanto tempo.
  • La tracciabilità delle cancellazioni: registrare che la purga è avvenuta, a fini di prova.
  • Una revisione periodica delle durate, perché finalità e obblighi cambiano nel tempo.

Questo lavoro si integra con l’approccio di privacy by design: pensare alla cancellazione fin dalla progettazione del trattamento è molto più efficace che rincorrerla dopo anni di accumulo. La durata di conservazione, inoltre, è una delle informazioni che l’interessato ha diritto di conoscere nell’esercizio del diritto di accesso e che va indicata nell’informativa privacy. Per orientarsi sulle durate concrete è utile una tabella dei tempi di conservazione per tipologia di dato; al raggiungimento del termine i dati vanno cancellati, un obbligo che si intreccia con il diritto all’oblio.

La conservazione come punto di controllo del Garante

La conservazione eccessiva è, per il Garante, uno degli inadempimenti più semplici da accertare: mentre valutare la sicurezza o la correttezza di un trattamento richiede analisi complesse, verificare che un’azienda conservi ancora i dati di clienti inattivi da anni è immediato. Per questo la durata dei dati è un punto di controllo ricorrente, spesso associato ad altri rilievi in provvedimenti sanzionatori. Non a caso i casi di conservazione oltre il necessario compaiono con regolarità nell’attività dell’Autorità: per un quadro delle decisioni recenti si veda l’analisi delle sanzioni del Garante. La lezione pratica è che una politica di conservazione documentata non è un adempimento burocratico, ma la prima linea di difesa in caso di controllo.

Domande frequenti

Esiste una durata standard di conservazione dei dati?

No. Il GDPR non fissa una durata unica: l’art. 5, par. 1, lett. e), impone di conservare i dati non oltre il tempo necessario alla finalità del trattamento. Ogni finalità ha la propria durata, che si determina incrociando lo scopo del trattamento con gli obblighi di legge applicabili. Alcune durate sono imposte dalla legge (ad esempio 10 anni per le scritture contabili ex art. 2220 del Codice Civile), altre vanno stabilite e motivate dal titolare.

Posso conservare i dati “per prudenza” oltre il termine?

No. La conservazione oltre il termine necessario, in mancanza di un obbligo di legge o di un’esigenza difensiva concreta, viola il principio di limitazione della conservazione. Conservare “per prudenza” o “perché non si sa mai” è uno dei rilievi tipici del Garante. Al raggiungimento del termine, i dati vanno cancellati o anonimizzati; se occorre conservarli per un obbligo o per la difesa di un diritto, si passa a un’archiviazione ad accesso limitato per il solo tempo necessario.

Per quanto tempo posso conservare le immagini di videosorveglianza?

Di norma per 24-48 ore, con la possibilità di arrivare fino a sette giorni in presenza di specifiche e documentate esigenze. Tempi superiori richiedono una motivazione particolare e possono essere valutati criticamente dal Garante. La conservazione va accompagnata dalle informative previste e dal rispetto degli altri obblighi in materia di videosorveglianza.

Conclusione

La limitazione della conservazione è un principio semplice da enunciare e impegnativo da applicare, perché richiede di stabilire una durata per ciascuna finalità e di cancellare i dati quando quella durata è esaurita. La chiave è la sistematicità: un inventario dei trattamenti con le rispettive durate, regole di cancellazione per quanto possibile automatiche, una gestione ordinata dell’archiviazione intermedia e la tracciabilità delle purghe. Fatto una volta e mantenuto nel tempo, questo impianto riduce il rischio in caso di violazione, abbatte i costi di gestione e mette il titolare al riparo dal più prevedibile dei rilievi del Garante. Una piattaforma di conformità come Legiscope consente di collegare ogni trattamento alla sua durata e di documentare la politica di conservazione, così che la cancellazione diventi una regola del sistema e non un compito rimandato. Rivedete le vostre durate almeno una volta l’anno: i dati che non servono più non sono un patrimonio, sono una passività.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →