La conservazione dei dati personali, soprattutto a scopo di marketing o profilazione, è sempre stato un argomento delicato, normato da specifici provvedimenti del Garante, che ne stabilivano limiti e termini temporali in 12 o 24 mesi oltre i quali i dati dovevano essere cancellati, salvo particolari autorizzazioni da parte della stessa Autorità. Con l'entrata in vigore del GDPR e l'applicazione del principio di accountability, anch in questo ambito la prospettiva cambia.
In nuovo Regolamento UE ha, infatti, responsabilizzato le aziende e i titolari del trattamento, rispetto al passato, rimettendo a loro molte scelte e decisioni che prima erano dettate da norme e decreti. In questo nuovo paradigma rientra anche la scelta, e quindi la responsabilità, di stabilire i termini temporali di conservazione dei dati.
Naturalmente non si tratta di scelte arbitrarie, ma devono essere giustificate da motivazioni documentabili (ad esempio il ciclo di vita del prodotto o i tempi di reiterazione dell'acquisto da parte dei consumatori ecc.): in caso di controllo, il Garante verificherà le motivazioni alla base delle scelte fatte e la liceità delle stesse. Inoltre, i periodi di conservazione dei dati, per ciascuna finalità di trattamento, devono essere indicati nell'informativa sul trattamento fornita all'interessato; in caso di profilazione, poi, occorre spiegare quale sia la logica usata per la creazione di gruppi e cluster.