Politica di Conservazione dei Dati
Questa pagina dettaglia per quanto tempo City Around conserva i dati personali raccolti, le ragioni di conservazione e i meccanismi automatici di cancellazione. La nostra regola guida è semplice: conservare il minimo necessario per il tempo strettamente indispensabile.
1. Principi Guida
Applichiamo i principi di minimizzazione (art. 5(1)(c) GDPR) e limitazione della conservazione (art. 5(1)(e) GDPR). Concretamente significa che:
- Raccogliamo solo i dati strettamente necessari alle finalità dichiarate nella Privacy Policy.
- Definiamo a priori, per ciascuna categoria di dati, un periodo massimo di conservazione.
- Cancelliamo o anonimizziamo automaticamente i dati al termine del periodo previsto.
2. Tabella di Conservazione
| Categoria di Dati | Periodo di Conservazione | Base Giuridica | Meccanismo di Cancellazione |
|---|---|---|---|
| Log di accesso al web server (IP, user-agent, timestamp) | 30 giorni | Legittimo interesse (sicurezza) | Rotazione automatica giornaliera |
| Log della CDN (IP mascherato, geo aggregato) | 14 giorni | Legittimo interesse (sicurezza) | Configurazione fornitore |
| Email entranti da utenti | 24 mesi dall'ultima comunicazione | Esecuzione contratto / legittimo interesse | Procedura semestrale manuale |
| Dati statistici aggregati e anonimizzati | Indeterminata (anonimi) | Non più dati personali | Non applicabile |
| Backup dei contenuti del sito | 90 giorni rolling | Continuità operativa | Pulizia automatica settimanale |
| Log delle email transazionali (notifiche, risposte) | 12 mesi | Esecuzione contratto | Pulizia automatica mensile presso il fornitore |
| Documenti di identità inviati per esercitare diritti GDPR | 6 mesi dopo l'evasione della richiesta | Obbligo legale (tracciabilità) | Cancellazione manuale a fine periodo |
| Corrispondenza relativa a contestazioni o disputa legale | 10 anni | Difesa in giudizio (art. 2946 c.c.) | Cancellazione manuale a fine periodo |
3. Eccezioni per Obblighi di Legge
I periodi sopra indicati possono essere prolungati nei casi in cui la conservazione sia richiesta da una norma di legge, da un provvedimento dell'autorità giudiziaria o amministrativa, oppure necessaria per la difesa in giudizio. In tali casi i dati restano conservati per il tempo strettamente necessario all'adempimento dell'obbligo, dopodiché vengono cancellati o anonimizzati.
4. Anonimizzazione e Pseudonimizzazione
Quando possibile, riduciamo la riconoscibilità dei dati attraverso due tecniche:
- Anonimizzazione. Eliminazione irreversibile degli identificativi diretti e indiretti. Il dato non è più riconducibile a una persona fisica e, di conseguenza, esce dal perimetro del GDPR.
- Pseudonimizzazione. Sostituzione degli identificativi diretti con un token. Il dato resta personale ai sensi del GDPR ma è protetto da accessi non autorizzati.
5. Cancellazione su Richiesta
Indipendentemente dai termini standard di conservazione, hai diritto a richiedere in qualunque momento la cancellazione dei tuoi dati ai sensi dell'art. 17 GDPR. La procedura operativa è descritta nella nostra Informativa GDPR. Salvo casi in cui un obbligo di legge ci imponga di conservare il dato (ad esempio per la contabilità o per il contenzioso in corso), procediamo entro 30 giorni dalla richiesta.
6. Audit Interno
Una volta l'anno effettuiamo una revisione interna dei dati conservati, verificando che non siano presenti dati oltre i termini stabiliti dalla presente politica. La revisione produce un verbale interno e, in caso di anomalie, attiva una procedura di cancellazione/anonimizzazione straordinaria.