Torna al blog
5 min di letturaLaw & Regulationprivacygdprcompliancedataarchitecture

La Limitazione della Conservazione È la Frontiera del Controllo 2026 per l'Analytics

Le autorità hanno smesso di chiedere se hai raccolto i dati in modo lecito e hanno iniziato a chiedere quando li hai cancellati. Dopo la sanzione da 42 M€ del CNIL a Free e l'azione di controllo sulla cancellazione dell'EDPB, la conservazione dei dati di analytics è il bersaglio dell'audit.

Izac CavalheiroFounder

La domanda costosa del GDPR era un tempo hai una base giuridica per raccogliere questo. Nel 2026 è diventata perché è ancora nel tuo database. Due interventi sanzionatori hanno spostato la conservazione da nota a piè di pagina della documentazione alla prima linea, e i sistemi di analytics sono proprio nel raggio d'azione.

Due decisioni che hanno cambiato il bersaglio

Il 13 gennaio 2026 il CNIL ha sanzionato Free Mobile per 27 milioni di euro e Free per 15 milioni. La maggior parte della copertura si è concentrata sulla violazione del 2024 che ha esposto 24 milioni di contratti di abbonati, ma la decisione citava anche direttamente l'Articolo 5(1)(e) — la limitazione della conservazione. Free Mobile aveva conservato dati relativi a 2,8 milioni di contratti cancellati da oltre dieci anni senza giustificazione. I dati non sono stati raccolti illecitamente. Sono stati conservati illecitamente.

Un mese dopo, l'EDPB ha pubblicato i risultati della sua azione coordinata di controllo del 2025. Trentadue autorità di protezione dei dati hanno controllato 764 titolari sulle pratiche di cancellazione e hanno riscontrato due carenze sistemiche: assenza di classificazione interna dei dati e assenza di cancellazione automatizzata negli stessi sistemi informatici. Una policy di conservazione documentata che nulla applica tecnicamente è stata trattata come fattore aggravante, non attenuante.

Il segnale è inequivocabile. Le autorità ora presumono che la raccolta sia avvenuta; controllano la cancellazione.

Perché l'analytics è il luogo ovvio da esaminare

La limitazione della conservazione ai sensi dell'Articolo 5(1)(e) stabilisce che i dati personali non devono essere conservati in forma identificabile più a lungo di quanto la finalità richieda. La maggior parte degli stack di analytics vi viene meno silenziosamente.

Una tipica tabella di eventi memorizza una riga per interazione collegata a un identificatore stabile — un ID di cookie, un ID di dispositivo, un'email con hash — con un timestamp e senza scadenza. Lo schema è progettato per conservare tutto per sempre, così che "potremmo volerlo interrogare più tardi" resti possibile. È esattamente la conservazione per ogni evenienza che il CNIL ha sanzionato.

Il problema si aggrava perché è l'identificatore a rendere personale una riga. Finché user_id = a91f... può essere ricollegato a una persona attraverso mesi di eventi, ognuna di quelle righe rientra nell'ambito, ognuna è soggetta a richieste di accesso e cancellazione, e ognuna è una responsabilità in caso di violazione. La conservazione non è un costo di archiviazione. È esposizione misurata nel tempo.

Minimizzare in scrittura batte cancellare in lettura

La soluzione duratura non è un cron job migliore che pota le righe vecchie. È un modello di dati in cui la forma identificabile non persiste mai in primo luogo.

Il modello di identità di Monoid è costruito attorno a questo. Un visitatore è rappresentato solo da un hash giornaliero:

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

L'IP e lo User-Agent grezzi esistono solo nella memoria del Worker il tempo necessario a calcolare quell'hash; D1 memorizza l'hash, mai i valori grezzi. Poiché la data è un input, l'hash dello stesso visitatore cambia ogni mezzanotte. Non c'è alcun identificatore stabile tra un giorno e l'altro da conservare, quindi il profilo tra sessioni che la limitazione della conservazione prende di mira non può accumularsi — non per policy, ma per costruzione.

Questa è minimizzazione dei dati in scrittura. Non cancelli il collegamento più tardi perché non l'hai mai scritto. Una richiesta di cancellazione diventa banale quando non esiste una chiave durevole contro cui cancellare.

Una conservazione che puoi davvero dimostrare

La limitazione della conservazione ha comunque bisogno di un limite esterno, e uno difendibile è breve e applicato, non lungo e aspirazionale. Monoid conserva i dati delle pageview per al massimo 730 giorni. Due anni sono un tetto deliberato per l'analisi delle tendenze, e l'eliminazione è un'operazione reale sulla tabella, non una riga in un PDF di policy. Il riscontro dell'EDPB è stato che le policy senza applicazione sono la falla che le indagini sfruttano; una conservazione che viene davvero eseguita la chiude.

La combinazione conta più di ciascuna delle due metà. Gli hash che ruotano ogni giorno fanno sì che i dati abbiano già forma aggregata prima ancora che la conservazione si applichi. La pulizia a 730 giorni fa sì che anche quel segnale aggregato abbia una fine netta e dimostrabile.

Come giudicare qualsiasi analytics su cui fai affidamento

Qualunque sia l'analytics dietro il tuo sito, tre verifiche corrispondono direttamente a ciò che le autorità hanno controllato:

  • Trova ogni campo che collega un record a una persona nel tempo. Un ID utente stabile, un valore di cookie persistente, un IP grezzo, un fingerprint. Ciascuno converte un log di eventi in un profilo conservato — quindi chiediti se l'analytics che usi ne memorizza anche solo uno.
  • Chiediti quando viene applicata la conservazione — all'ingestione o in una revisione trimestrale. La minimizzazione che avviene mentre i dati vengono scritti batte un job di cancellazione che qualcuno deve ricordarsi di eseguire. La risposta più forte è un modello in cui la forma identificabile non è mai stata memorizzata in primo luogo.
  • Chiediti se la cancellazione è dimostrabile. Se un fornitore non può indicare un limite di conservazione rigido che viene davvero eseguito, ha una policy, non un controllo — e l'azione dell'EDPB ti ha appena detto quale delle due viene sanzionata.

I dati più economici da difendere in un audit sono i dati che non hai mai conservato in forma identificabile. La limitazione della conservazione non è più una clausola da parafrasare in una privacy policy; è ciò che la prossima indagine misurerà, e l'architettura che vi risponde è quella che non ha mai avuto un profilo da cancellare.

Fonti

Related posts

5 min di letturaLaw & Regulation

Quando un Hash È un Dato Personale? La Sentenza SRB della CGUE e l'Identità in Analytics

La sentenza EDPS contro SRB della CGUE ha reso l'identificabilità un test relativo e contestuale. Ecco cosa significa per l'analytics basato su hash, e perché un hash con salt che ruota ogni giorno regge sia alla lettura della corte sia a quella più rigida dell'EDPB.

Leggi di più
4 min di letturaLaw & Regulation

Il Digital Omnibus vuole esentare dal consenso l'analytics first-party

Il Digital Omnibus dell'UE, di novembre 2025, propone un'esenzione dal consenso per la misurazione dell'audience first-party a uso interno. Descrive il modello che l'analytics senza cookie già esegue.

Leggi di più
5 min di letturaLaw & Regulation

Consent Mode v2 e la Fine di Google Signals a Giugno 2026

Il 15 giugno 2026 ad_storage diventa l'unico controllo sui dati pubblicitari nello stack di Google. Ecco cosa cambia la fine di Google Signals per gli sviluppatori — e perché tutto questo macchinario è qualcosa che un'analytics senza cookie non ha mai dovuto costruire.

Leggi di più

Comments

Loading comments…