GDPR: durata dei trattamenti e fornitori

Una domanda interessante sui forum: "perche' le software house non aggiornano i software indicando la possibilita' di cancellare i dati dopo xxx giorni, mesi, anni ?"
 
La risposta non e' ovvia: non lo fanno perche' ... non c'e' un solo perche'.

Sicuramente non e' ancora una richiesta frequente.

Appena i clienti diranno loro che non possono essere scelti come fornitori perche' non garantiscono i diritti minimi degli interessati, cambieranno idea.

Comunque anche i clienti devono fare la loro parte, questo e' lo spirito del GDPR.

Bisogna dire al fornitore quale durata serve.

E' per tutti 10 anni ? Spesso ci possono essere ipotesi di durate diverse... E questo e' piu' complesso, quindi va descritta l'esigenza.

Io ho un servizio che raccoglie ordini e fatture. Sto valutando di:

• cancellare automaticamente e non solo manualmente gli ordini che non vengono eseguiti dopo un tempo variabile indicato dalle condizioni contrattuali di vendita (di solito si dovrebbe scrivere: "l'ordine iniziato e non concluso verra' mantenuto per 30 giorni, poi andra' ripetuto").
• Cancellare e basta ?
• Tenere un log contro eventuali frodi ?

E' da valutare.

Sto anche valutando di cancellare quelli evasi 10 anni fa, o 11 considerando i tempi fiscali, o al 31 dicembre dell'anno successivo al decimo ..., ma in ogni caso non senza concordare una modalita' di invio dei vecchi dati al titolare per finalita' storiche. Ma l'invio dovrebbe essere sicuro, non certo via email.
 
Oppure lasciare al cliente decidere cosa cancellare e quando, liberamente, senza neanche un automatismo. 

L'importante e' corredare di data ogni registrazione, abitudine che non tutti hanno nei loro software.

E' complesso, non basta "cancellare".