Ci sono dati che vivono, si muovono, producono effetti, generano valore. E poi ci sono quelli che non parlano più.

Silenzio e dati

Sono i dati degli utenti silenti: profili abbandonati, account mai più aperti, newsletter ignorate, applicazioni disinstallate ma ancora operative nei back-end. Un’assenza che, nel mondo del trattamento dati, ha un nome: persistenza.

Il GDPR stabilisce un principio chiaro: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Questo principio, noto come “minimizzazione” (art. 5, par. 1, lett. c), si lega direttamente a quello di “limitazione della conservazione” (lett. e), che impone di non conservare i dati più a lungo del necessario. In teoria, quindi, un’azienda dovrebbe definire per ogni trattamento una durata chiara, motivata e coerente. In pratica, però, succede altro.

Potrebbe interessarti > Il principio di minimizzazione nel GDPR

Succede che molti sistemi aziendali mantengono attivi milioni di profili dormienti. Per inerzia, per non perdere potenziali clienti, per motivi di analisi, o semplicemente perché “nessuno ha mai pensato di cancellarli”. Sono profili che non generano più valore, ma continuano a produrre responsabilità.

L’utente che non interagisce più non ha revocato il consenso, ma nemmeno l’ha confermato. Non ha chiesto la cancellazione, ma ha smesso di esserci. E proprio questo limbo rende fragile l’intero impianto giuridico. Perché un’azienda che conserva dati di persone che da anni non manifestano alcuna attività dovrebbe, a norma di legge, interrogarsi: questi dati sono ancora necessari? È ancora lecita la loro conservazione?

Molte imprese affidano questa risposta a clausole automatiche: “fino a revoca”, “fino a disiscrizione”, “fino a esercizio del diritto di cancellazione”. Ma è un’impostazione passiva, che scarica sull’interessato un onere che il GDPR non prevede. La responsabilità primaria, infatti, è in capo al titolare del trattamento, non all’utente disattento.

In particolare, il Considerando 39 del Regolamento è esplicito: i dati devono essere trattati solo se la finalità non può essere realizzata con altri mezzi, e solo per il tempo strettamente necessario. L’inattività prolungata è già di per sé un elemento che dovrebbe indurre alla verifica, se non all’automatica disattivazione o anonimizzazione del profilo.

Ma oltre al profilo normativo, c’è quello pratico. I data breach. Ogni anno milioni di account inutilizzati finiscono in archivi esposti, compromessi o oggetto di furti. E le aziende non possono sostenere di non sapere che quei profili erano abbandonati. Lo erano, ma erano conservati. E ogni conservazione, in materia di dati personali, è una scelta, e una responsabilità.

Potrebbe interessarti > Cosa fare in caso di violazione dati personali (Data breach)?

La mancata definizione di una data retention policy dinamica non è solo una dimenticanza tecnica, è una violazione dell’art. 24 del GDPR, che impone al titolare di adottare misure tecniche e organizzative adeguate. Non basta inserire una clausola standard nelle informative. Serve verificare periodicamente se i dati conservati siano ancora giustificabili. E serve poterlo dimostrare, se richiesto.

Conclusione 

Infine, un accenno alle nuove frontiere dell’intelligenza artificiale: i profili silenti vengono oggi rielaborati, stimati, completati attraverso modelli predittivi. In alcuni casi si tratta di dati aggregati, in altri casi il legame con l’identità dell’interessato resta diretto. Ci si trova quindi a profilare soggetti che non partecipano più, e che forse nemmeno sanno di essere ancora registrati. È un trattamento? Sì. È lecito? Solo se basato su una finalità concreta, trasparente, proporzionata. Raramente lo è.

Il cimitero dei profili digitali non è un’area neutra. È uno spazio dove si annidano rischi, responsabilità e spesso non conformità. Il silenzio di un utente non va letto come un lasciapassare, ma come un campanello d’allarme. E le aziende, prima di pensare a nuovi consensi, dovrebbero avere il coraggio e la cultura di spegnere quelli che non parlano più.