← Torna alla home

Politica di Conservazione e Cancellazione dei Dati

Data Retention & Deletion Policy

Versione 1.0 — Data di adozione: Febbraio 2026 — Atheron S.r.l.

1. Scopo e ambito di applicazione

La presente Politica di Conservazione e Cancellazione dei Dati definisce i criteri, i tempi e le modalità di conservazione, anonimizzazione e cancellazione dei dati trattati da Atheron S.r.l. in relazione a:

  • erogazione della piattaforma SaaS di monitoraggio informativo e intelligence (Servizio Atheron);
  • attività interne di gestione clienti, sicurezza, compliance e amministrazione;
  • trattamenti effettuati da Atheron in qualità sia di Titolare del trattamento sia di Responsabile del trattamento per conto dei propri clienti.

La Policy integra e specifica quanto previsto dal Data Processing Agreement (DPA), dall'Informativa Privacy pubblicata sul sito e dal Registro delle attività di trattamento ex art. 30 GDPR.

In caso di contrasto prevalgono: (1) gli obblighi di legge; (2) le pattuizioni contrattuali con il cliente (DPA o contratto principale).

2. Principi generali

  • Limitazione della conservazione (art. 5, par. 1, lett. e GDPR): i dati sono conservati per un arco di tempo non superiore al conseguimento delle finalità.
  • Minimizzazione e necessity: le durate sono definite in base al necessario per finalità tecniche, contrattuali, di sicurezza, di prova e compliance.
  • Coerenza interna: i tempi sono allineati tra contratto, DPA, Informativa Privacy e registro trattamenti.
  • Separazione dei ruoli: dove Atheron agisce come Responsabile, la conservazione è definita dalle istruzioni del Titolare (cliente); dove Atheron agisce come Titolare, dalla presente Policy.
  • Sicurezza alla fine del ciclo di vita: cancellazione, anonimizzazione o archiviazione sicura riducono il rischio di accessi non autorizzati.

3. Categorie di dati e tempi di conservazione

Le durate sono espresse a partire da un evento trigger (es. cessazione contratto, ultimo accesso, generazione report).

3.1 Account utente e autenticazione

  • Dati account (nome, email, tenant, ruolo): per tutta la durata del rapporto; cancellazione o anonimizzazione entro 30 giorni su richiesta (art. 17) o 90 giorni dalla cessazione del contratto.
  • Credenziali (password hash bcrypt, flag cambio password): per la durata dell'account; cancellazione contestuale alla disattivazione.
  • Token reset password: fino a 24 ore dalla generazione o fino all'uso.
  • Informazioni di sessione (ID sessione, ultimo accesso): fino a 30 giorni dall'ultima attività.

3.2 Onboarding e configurazione clienti

  • Dati di base del cliente (ragione sociale, settore, brand, prodotti, mercati): per durata contratto; successivamente fino a 24 mesi a fini storici e documentazione, salvo istruzioni diverse del cliente.
  • Informazioni strategiche (mission, vision, rischi, priorità): durata contratto + fino a 24 mesi, salvo istruzioni cliente. (Questi dati non sono trasmessi a fornitori AI extra-UE.)
  • Documenti onboarding caricati (PDF, policy, materiali): per durata contratto; cancellazione entro 90 giorni dalla cessazione, salvo DPA o difesa in giudizio.
  • Bozze salvate in localStorage: gestite dal browser; Atheron non accede direttamente. Si veda la Cookie Policy e l'Informativa Privacy.

3.3 Articoli, contenuti pubblici e analisi

  • Metadati articoli (titolo, fonte, URL, data, categoria, punteggi): 24 mesi dalla data di acquisizione; poi cancellazione o aggregazione anonima.
  • Riassunti sintetici e classificazioni: 24 mesi (o 36 mesi se incorporati in report).
  • Dati brand_mentions / reputazione: 24 mesi; parametri diversi possibili in DPA per clienti enterprise.

3.4 Report, PDF e output distribuiti

  • Report PDF generati: 36 mesi dalla generazione; link firmati con scadenza configurata (es. 1 anno).
  • Metadati report: fino a 36 mesi, allineati ai PDF.
  • Report custom / analisi specifiche: di norma 36 mesi; per clienti enterprise fino a 60 mesi se formalizzato nel DPA.

3.5 Log tecnici, sicurezza e audit

  • Log accesso, autenticazione e sicurezza: 12 mesi; conservazione più lunga in caso di incidente o contenzioso.
  • Log applicativi e di sistema: 3–6 mesi.
  • Log job generazione report e scraping: fino a 12 mesi.

3.6 Comunicazioni e-mail

  • E-mail transazionali (attivazione, reset password, report, notifiche): fino a 12 mesi dall'invio.
  • E-mail contatto commerciale e demo: fino a 24 mesi dall'ultimo contatto significativo, salvo instaurazione del rapporto contrattuale.

3.7 Dati amministrativi, contabili e contrattuali

  • Contratti, DPA, SLA, allegati: secondo normativa civilistica/fiscale, tipicamente 10 anni dalla cessazione del rapporto.
  • Documenti contabili e fatture: 10 anni dalla data del documento.

4. Cancellazione, anonimizzazione e gestione dei backup

Modalità di cancellazione e anonimizzazione

Atheron applica: cancellazione logica (soft delete) con successiva rimozione fisica; cancellazione fisica da database e storage; anonimizzazione irreversibile (dati aggregati non riconducibili agli interessati); oblio selettivo su richiesta nei limiti di legge.

Backup e tempi di eliminazione

  • Backup giornalieri: 7 giorni; backup settimanali: 4 settimane; backup mensili: 3 mesi.
  • Durata massima di persistenza di un dato cancellato da produzione: 90 giorni (decantazione tecnica nei cicli di backup).
  • Accesso ai backup limitato, con logging. In caso di esercizio del diritto alla cancellazione (art. 17): cancellazione immediata da produzione; eliminazione dai backup per decantazione entro 90 giorni; nessun ripristino che reintroduca dati cancellati, salvo obblighi legali.
  • In caso di incidenti di sicurezza possono essere conservate copie forensi isolate e cifrate per la durata strettamente necessaria all'indagine.

5. Diritti degli interessati e impatto sulla retention

  • Diritto alla cancellazione (art. 17): cancellazione o anonimizzazione entro 30 giorni dalla richiesta per i dati in produzione; persistenza massima 90 giorni nei backup (decantazione tecnica).
  • Opposizione (art. 21): valutazione caso per caso; in caso di prevalenza dei diritti dell'interessato, trattamento interrotto e dati cancellati secondo le tempistiche indicate.
  • Limitazione (art. 18): dati temporaneamente non accessibili per ulteriori trattamenti (flag, segregazione) fino a risoluzione della contestazione.
  • Portabilità (art. 20): export in formato strutturato (JSON, CSV) entro 30 giorni dalla richiesta.

Atheron come Responsabile del trattamento: le richieste degli interessati vengono inoltrate al Titolare (cliente) entro 48 ore dal ricevimento. Atheron mantiene retention autonoma solo per i propri log e sistemi interni.

6. Ruoli, responsabilità e revisione

La responsabilità dell'adozione e dell'aggiornamento della Policy ricade sulla Direzione di Atheron. Il referente privacy / DPO (se nominato) verifica la coerenza con GDPR e DPA, conduce audit periodici e supporta le richieste degli interessati. Il team tecnico implementa le logiche di retention e gestisce backup; il team commerciale comunica le logiche ai clienti e concorda eventuali parametri nei DPA.

La Policy è oggetto di revisione almeno una volta all'anno (tipicamente Q1) e in caso di cambiamenti rilevanti (architettura, fornitori, normativa, audit). Ogni modifica sostanziale è approvata dalla Direzione e comunicata ai clienti (DPA o email).

Informativa Privacy · Cookie Policy · Gestione preferenze cookie · Termini e Condizioni

Politica di Conservazione e Cancellazione dei Dati — Atheron S.r.l. — Ultimo aggiornamento: Febbraio 2026