Per le piccole imprese del Regno Unito, la questione su quanto tempo conservare i dati dei clienti non è semplice come scegliere un numero e attenervisi. Non esiste un unico periodo di conservazione fisso ai sensi del GDPR del Regno Unito.
Invece, la legge richiede che i dati personali siano conservati solo per il tempo necessario allo scopo per cui sono stati originariamente raccolti – e le aziende devono essere in grado di giustificare tale decisione per iscritto.
Ciò comporta un onere operativo reale per le PMI. Un’azienda che raccoglie indirizzi e-mail per una campagna di newsletter, memorizza i dettagli di pagamento per ordini ricorrenti e registra le conversazioni di supporto ha già a che fare con diverse categorie di dati, ciascuna con la propria durata di vita appropriata. Sbagliare questo non è un piccolo errore amministrativo: è un rischio di conformità con conseguenze finanziarie.
Cosa dice il GDPR sulla conservazione dei dati
Il principio di limitazione dello spazio di archiviazione del GDPR del Regno Unito è chiaro nella direzione ma silenzioso nei dettagli. Dice alle organizzazioni di non conservare i dati personali più a lungo del necessario, ma non dice loro esattamente quanto tempo significa “necessario” per una determinata categoria. L’implicazione pratica è che ogni PMI ha bisogno di una politica di conservazione documentata che spieghi, categoria per categoria, perché i dati vengono conservati e quando verranno cancellati o resi anonimi.
I documenti aziendali standard – fatture, contratti, documenti relativi all’IVA – spesso devono essere conservati per sei o sette anni in base alle norme fiscali e contabili. I registri rivolti ai consumatori, tuttavia, sono una questione diversa. Gli account cliente inattivi, i lead di marketing scaduti e i ticket di supporto chiusi devono essere esaminati separatamente ed eliminati una volta che non servono più a uno scopo chiaro e documentato. Senza tale disciplina, i dati si accumulano silenziosamente, così come i rischi.
Quali tipi di dati comportano limiti più severi
Non tutti i dati dei consumatori meritano la stessa finestra di conservazione. I pagamenti e i registri finanziari comportano obblighi più lunghi a causa della normativa fiscale e di potenziali controversie. I registri del consenso al marketing dovrebbero essere conservati abbastanza a lungo da dimostrare la conformità al PECR in caso di contestazione, ma cancellati quando il consenso scade. I dati di categorie speciali – che includono informazioni sanitarie, biometriche e alcune informazioni demografiche – richiedono uno standard più elevato di giustificazione per la conservazione e controlli di accesso più rigorosi per tutta la loro vita.
Le aziende native digitali, comprese le piattaforme online e i servizi in abbonamento, si trovano ora ad affrontare crescenti aspettative degli utenti in merito alla minimizzazione dei dati. I settori che hanno sviluppato solide strutture in materia di trasparenza degli utenti offrono parametri di riferimento utili: app fintech, piattaforme di tecnologia sanitaria e servizi di iGaming come scommesse nel Regno Unito senza registrazione sono stati tutti spinti dalla regolamentazione a ridurre al minimo i dati raccolti in anticipo, rimodellando il modo in cui la pressione sulla conformità si traduce nella gestione pratica dei dati nei vari settori.
Secondo un’analisi della conservazione dei dati di Computer Weeklyun approccio categoria per categoria piuttosto che una politica generale è ora ampiamente considerata come la migliore pratica per le organizzazioni del Regno Unito.
Settori in cui le regole di conservazione differiscono
Le norme specifiche per settore complicano notevolmente le cose per le aziende che presumono che siano sufficienti le linee guida generali del GDPR. Gli operatori sanitari potrebbero dover conservare i dati dei pazienti per anni oltre quanto un’attività di vendita al dettaglio standard potrebbe mai prendere in considerazione. Le società di servizi finanziari che operano sotto la supervisione della FCA e le normative antiriciclaggio devono affrontare requisiti minimi obbligatori che prevalgono su quanto suggerito dal solo GDPR. Le società di outsourcing del libro paga e delle risorse umane si trovano in un territorio altrettanto complesso.
Il Data (Use and Access) Act 2025, diventato legge il 19 giugno 2025, ha iniziato ad aggiornare e formalizzare parti del quadro GDPR del Regno Unito. Come dettagliato in L’analisi giuridica di Osborne Clarkela legge pone alcuni punti guida dell’ICO su una base giuridica più solida, comprese le aspettative di proporzionalità relative alle richieste di accesso dei soggetti. Per le PMI settoriali, ciò significa che il livello di conformità è ora leggermente superiore rispetto a un anno fa.
Azioni che le PMI dovrebbero intraprendere subito
Il primo passo pratico è creare una mappa dei dati: una registrazione chiara di quali dati personali conserva l’azienda, dove si trova, perché sono stati raccolti e per quanto tempo verranno conservati. Senza queste basi, è impossibile applicare un programma di conservazione o rispondere in modo credibile a una richiesta di accesso o a un reclamo da parte di un soggetto. Ciò non richiede software specializzato; un foglio di calcolo ben gestito può servire allo scopo per la maggior parte delle piccole imprese.
Le ragioni finanziarie per agire sono convincenti. L’anno scorso, secondo i dati, il costo medio di una violazione dei dati per una PMI britannica ha raggiunto le 6.400 sterline il sondaggio del governo sulle violazioni della sicurezza informatica. Conservare dati non necessari aumenta direttamente tale rischio. Le PMI che stabiliscono date di cancellazione o anonimizzazione, rivedono annualmente i propri programmi di conservazione e documentano le proprie motivazioni non si limitano a soddisfare i requisiti legali, ma stanno attivamente riducendo la loro esposizione a un costo che può essere davvero dannoso su scala di piccole imprese.
