Conservazione e cancellazione: guida pratica per team SaaS

Conservazione e cancellazione funzionano meglio quando i team SaaS trasformano il linguaggio di policy in regole operative per sistemi reali. L'obiettivo e sapere quali dati personali esistono, perche servono ancora, quale evento avvia il periodo, chi possiede l'azione, come avviene cancellazione o anonimizzazione, quali eccezioni si applicano e quale evidenza prova l'esecuzione.

Nel GDPR, i dati personali non dovrebbero essere conservati in forma identificabile piu a lungo del necessario per le finalita del trattamento. In SaaS questo tocca database di produzione, supporto, billing, analytics, log, backup, warehouse, export e vendor.

Perche conta in pratica

Una policy che dice "cancellare i dati cliente dopo la termination" non spiega quali sistemi li contengono, se l'account e solo disattivato, se gli analytics restano identificabili, se i ticket hanno allegati o se un vendor conserva copie.

Conservare troppo a lungo aumenta l'impatto di breach, amplia il perimetro delle richieste di accesso, complica migrazioni e vendor exit e indebolisce la data minimisation. Cancellare senza controllo puo invece rimuovere dati necessari per tasse, frodi, contratto, security investigation o legal claims.

Quando si applica

Si applica quando un team SaaS conserva dati personali in prodotto, sistema operativo, tool interno, piattaforma vendor, archivio, log, file store o backup. Include dati cliente, account utente, supporto, billing, telemetria, log security, lead marketing, candidati, dipendenti, contractor, contatti vendor ed evidenze compliance.

La Commissione europea spiega che i dati devono essere conservati per il minor tempo possibile, tenendo conto delle ragioni del trattamento e degli obblighi legali. Le organizzazioni dovrebbero stabilire limiti temporali per cancellare o revisionare i dati.

Costruire lo schedule attorno agli eventi

Gli schedule falliscono se indicano solo tipi di record e durate. I sistemi SaaS hanno bisogno di trigger.

Per ogni categoria definisci record coperto, sistemi e vendor, evento iniziale, periodo default, azione di cancellazione o anonimizzazione, owner, eccezione o legal hold, evidenza richiesta e intervallo di review.

Il trigger e spesso la parte difficile: cancellazione account, fine contratto, pagamento finale, chiusura ticket, rigetto candidato, unsubscribe di lead o chiusura incidente. Le risposte possono variare, ma devono essere esplicite.

Mappare regole ai sistemi

Molti problemi di retention sono problemi di mapping. Lo stesso dato puo vivere in applicazione, identity provider, CRM, billing, support, analytics, warehouse, cloud storage, export, spreadsheet, log, backup e vendor.

Parti da dati account, profili, ticket, billing, analytics, log security, marketing, HR ed evidenze vendor o compliance. La regola non e operativa finche il team non sa dove il dato esiste.

Decidere cosa significa cancellare

La cancellazione non e sempre una singola azione tecnica. Puo significare hard delete, soft delete seguito da purge, anonimizzazione, pseudonimizzazione, restrizione archivio, suppression o scadenza backup.

I backup richiedono precisione. Se una richiesta valida di cancellazione si applica, servono passaggi per backup e sistemi live. Ma i dati possono restare nei backup fino alla sovrascrittura se messi fuori uso e non ripristinati per altre finalita.

Non promettere cancellazione istantanea da ogni backup se i backup seguono una rotazione. Spiega cosa accade nei sistemi live, cosa accade nei backup e quanto dura normalmente l'expiry.

Le richieste di cancellazione sono distinte dalla retention ordinaria

La retention ordinaria gira su schedule ed eventi business. Una richiesta di cancellazione nasce quando una persona chiede la cancellazione. L'articolo 17 GDPR si applica in situazioni definite, ad esempio quando i dati non sono piu necessari, il consenso e ritirato senza altra base, il trattamento e illecito o la legge richiede cancellazione. Il diritto non e assoluto.

Un team SaaS deve avere triage: riconoscere la richiesta, registrare deadline, verificare identita, identificare sistemi e vendor, decidere cosa cancellare, conservare o restringere, documentare le ragioni di rifiuto parziale, eseguire e conservare evidenza.

Definire eccezioni prima della deadline

Eccezioni comuni: tasse, contabilita, contratto, frode, sicurezza, incident response, legal hold, dispute, assicurazioni, regulatory reporting e audit evidence. Conta documentare chi approva l'eccezione, quali dati copre, perche si applica, quando sara rivista e cosa accade alla fine.

Includere i vendor

I dati SaaS raramente vivono solo nel prodotto. Vendor e processor possono conservare supporto, billing, analytics, comunicazioni, log, backup e compliance record. Retention e cancellazione devono quindi far parte di vendor onboarding e processor management.

Chiedi come funziona la retention, come si richiede cancellazione, se i backup hanno ciclo separato, se esistono export, quali subprocessors conservano dati e quale evidenza puo fornire il vendor.

FAQ

Cosa devono capire i team?

Che conservazione e cancellazione e un workflow vivo che collega inventario dati, ownership sistemi, trigger, eccezioni legali, backup, vendor, richieste di cancellazione ed evidenza.

Perche conta in pratica?

Le aziende SaaS conservano dati personali in molti sistemi. Senza modello operativo, i dati restano troppo a lungo, vengono cancellati in modo incoerente o gestiti con decisioni puntuali difficili da provare.

Cosa documentare prima?

Inizia da dati account, supporto, billing, analytics, log security e dati presso vendor. Definisci trigger, owner, posizioni, azione, eccezione ed evidenza.

Sources

• European Union, General Data Protection Regulation.
• European Commission, For how long can data be kept and is it necessary to update it?
• European Commission, Do we always have to delete personal data if a person asks?
• Information Commissioner's Office, Principle (e): Storage limitation.
• Information Commissioner's Office, Right to erasure.