Il GDPR introduce una questione interessante che deve essere esporta ai propri utenti: per quanto tempo conserverai i dati personali che hai raccolto? Chiaramente, la conservazione dei dati può essere determinata da leggi che hanno priorità sul GDPR, come possono essere i vincoli fiscali (una fattura non la puoi far sparire dopo 6 mesi).
Ma per altre finalità, come il marketing, viene chiesto di indicare un tempo di conservazione. Come determinarlo?
Prima di strapparsi i capelli, vediamo con precisione cosa chiede la legge. Non basatevi sulle chiacchiere del web che spesso sono fuorvianti ed accendiamo il cervello. Al Commento 39 troviamo scritto:
Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare
del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica.
Capiamo subito che non si tratta di definire un temine assoluto scaduto il quale il dato va cancellato, è possibile stabilire dei controlli periodici che permettano di determinare se un dato debba ancora essere conservato o no. L’indicazione del tempo limitato al “minimo necessario” ci aiuta a capire che affermare “li tengo finché mi pace” non è propriamente un criterio valido.
Inoltre il GDPR ci chiede di esporci: nell’informativa dovremmo andare ad indicare (Articolo 13):
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
Vedete come ritorni sia un concetto di tempo assoluto, se lo vogliamo applicare, sia un concetto di regole che vogliamo applicare per capire quando un dato va cancellato. Più sotto riporto un po’ di esempi sui quali riflettere.
Tempi diversi per trattamenti diversi
Come si può immaginare, il trattamento del dati a fini fiscali ha un tempo di conservazione di 10 anni. Il trattamento del dato a fini marketing, può essere molto più breve (o in altri caso molto più lungo). Per fini marketing potrei applicare delle regole che rendono questo tempo “dinamico” dato per dato, mentre per fini fiscali c’è almeno un limite assoluto imposto dalla legge (oltre il quale di solito non ci si pensa mezzo secondo a cancellare).
Nell’informativa quindi è lecito pensare di specificare queste diversità ma la cosa più importante è forse capirle da parte delle aziende che trattano i dati.
Il valore del dato cambia nel tempo
Per capire quale sia il tempo giusto di conservazione, devo prima di tutto capire come varia il valore del dati che ho raccolto nel tempo. Questo valore cambia moltissimo e non è detto che invecchiando il valore scenda. Negli esempi sotto approfondiremo proprio questo aspetto fondamentale.
I dati costano
I dati costano e non poco. Non parlo dell’acquisizione, dove il costo è facile da controllare, ma i dati costano nella loro conservazione ed utilizzo. Spesso viene sottovalutato questo aspetto.
Avere un database con tantissimi dati dei quali non si conosce il valore al momento dell’utilizzo può comportare un esagerato dispendio di forze nella conduzione di campagne che finiscono per arrivare alle persone sbagliate. Spedire anche solo email costa e non poco. Figuriamoci poi se le campagne sono condotte con remarketing o per via postale o telefonica.
Molti dati creano anche delle complicazioni di gestione e di manutenzione se non ci sono regole che ne determinano il valore e che ne determinano la fine del ciclo di vita. Il GDPR da questo punto di vista ci aiuta (obbliga) a fermarsi un attimo e ragionare sulla strada che vogliamo percorrere.
Esempi di tempi di conservazione
Nella libertà di decidere noi stessi tempi di conservazione (ma con l’onere di giustificarli), vediamo alcuni esempi pratici e proviamo a farci sopra dei ragionamenti. Aspetto anche i vostri commenti e critiche, ovviamente.
Beni durevoli
Sono una azienda che produce dei beni durevoli, ad esempio condizionatori. Un bene di questo tipo dura almeno 10 anni e supponiamo che al momento della vendita raccolga dal cliente il consenso per mandargli materiale di marketing: offerte di piani di manutenzione, prodotti per la pulizia, indicazioni per un buon uso, eccetera.
Per quanto tempo posso tenere i dati del mio utente per questa finalità? Per capirlo dobbiamo comprendere quando il dato del cliente assume il massimo valore nel futuro.
Il dato del cliente che ha acquistato un condizionatore, dopo pochi giorni dall’acquisto è probabilmente zero: ha appena speso un bel po’ di denaro ed è improbabile che voglia acquistare altro. Ha una garanzia che lo copre dai problemi, il prodotto è nuovo e non deve fare manutenzione. Cercherà solo di godersi il fresco.
Dopo un anno, però, le unità interne del condizionatore vanno pulite e possono servire dei prodotti appositi. Ecco che quello è il momento giusto per ricontattare il cliente e offrigli i propri prodotti. Quindi il dato ha senso che sia conservato per almeno 1 anno.
Successivamente, dopo 2 anni, arriva la scadenza della garanzia. E’ un altro momento di “urgenza” per il cliente, che potrebbe essere interessato a comperare una estensione di garanzia o un pacchetto di manutenzione che garantisce sostituzione gratuita di certi elementi. Ecco che 2 anni sono un tempo di conservazione necessario per portare avanti queste operazioni commerciali.
Dopo 5 anni potrei ritenere che il cliente, avendo un prodotto che inizia ad essere “vecchio” non sia più interessato alle offerte del produttore. Vorrà fare la manutenzione minima e/o preferirà l’offerta da canali non ufficiali e più economici.
Se l’azienda di beni durevoli determina in modo fisso che la durata del trattamento per finalità di marketing è 18 mesi, sta tagliando le gambe all’ufficio marketing. Se la durata l’ha decisa l’ufficio marketing, è il caso di fermarsi un attimo a riflettere.
Prodotti a durata limitata
Immaginate di fare un viaggio in una grande città e quindi di voler acquistare per tempo alcuni servizi (tessera per i trasporti, pacchetto di ingressi, eccetera). Il valore del dato in questo caso è massimo nel periodo di utilizzo del servizio, dove l’utente può essere interessato ad aggiungere altri servizi a quelli che ha comperato. Finito il viaggio, qualsiasi offerta spedita per quella città sarà presumibilmente inutile.
In questo caso, determinare il valore del dati nel tempo e cancellarlo quando scende sotto una soglia minima è importante per non gestire informazioni inutili.
Il gommista
Il gommista è un caso simile a quello dei beni durevoli. Quando un cliente compera le gomme, è alquanto inutile mandarli un’offerta specifica per la sua auto due mesi dopo. Due mesi dopo il valore del dato è nullo rispetto al marketing di pneumatici. Può viceversa essere interessante per altri tipo di servizi, come la bilanciatura.
Il cliente torna ad essere interessante probabilmente dopo 3 anni quando inizierà a pensare che è ora di cambiare le gomme (o quando la pulce nell’orecchio gliela metterà il gommista). Ecco che la conservazione del dato deve avere una durata minima di tre anni ed è ampiamente giustificata del tipo di business.
Conclusione
Il GDPR con quelle poche righe di raccomandazioni/obblighi dovrebbe essere preso come una occasione per fare meglio, non come un fastidioso adempimento da ottemperare. Ma quanto l’hanno capito?