ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùGestire lo studio

I dati non sono per sempre: così il professionista evita responsabilità e sanzioni

I professionisti devono stabilire le regole di conservazione, aggiornarle in base ai trattamenti e verificare le cancellazioni

di Francesca Gaudino

3' di lettura

Dai clienti ai fornitori, dai dipendenti ai collaboratori, fino al contenzioso. Coprono un’ampia casistica i dati personali custoditi dagli studi professionali. Attenzione però: i dati non possono essere conservati per sempre (salvo alcune eccezioni, come per gli archivi storici). E chi li trattiene oltre i tempi previsti, violando le regole sui limiti alla conservazione dei dati (data retention), rischia sanzioni e responsabilità.

Per questo i professionisti devono non solo stabilire delle regole di conservazione dei dati, ma anche aggiornarle in caso di modifiche ai trattamenti realizzati e verificarne periodicamente la corretta attuazione. In pratica, occorre fare una sorta di “tagliando di data retention” per assicurarsi che i dati siano effettivamente cancellati.

Loading...

Conservazione limitata

Già presente nel “vecchio” Codice Privacy, il principio della limitazione della conservazione dei dati è stato ampliato dal Gdpr. Infatti, l’articolo 5, comma 1, lettera e), del regolamento 2016/679 stabilisce che i dati non possono essere conservati in una forma che consenta di identificare la persona fisica per un arco di tempo superiore a quanto necessario a raggiungere le finalità per cui i dati sono trattati, salvo specifiche eccezioni.

In breve, i dati devono essere cancellati o resi (veramente) anonimi quando non sono più utili allo scopo per cui sono raccolti. In caso di violazione si applicano le sanzioni più alte stabilite dal Gdpr (20 milioni di euro o il 4% del fatturato totale annuo dell’esercizio precedente, se superiore).

Rispettare i limiti alla conservazione dei dati, in genere, è un adempimento di difficile gestione. Anche perché, nonostante l’obbligo imposto dal Gdpr, resiste ancora un approccio bulimico nei confronti delle informazioni: ne raccolgo il maggior numero possibile e le conservo a tempo indeterminato, perché in futuro potrebbero essere utili.

Oltre a far rischiare le sanzioni, conservare dati “inutili” espone il titolare a diverse responsabilità, ad esempio in termini di sicurezza: più sono i dati conservati, maggiori i rischi di perdita o violazioni.

Gestione «ragionata»

I tempi di conservazione dei dati personali, essendo legati al periodo necessario per raggiungere le finalità per cui sono stati trattati, variano da caso a caso. Per definirli, il titolare del trattamento deve identificare:

1) i trattamenti realizzati;

2) la finalità di ogni trattamento;

3) i dati necessari a ogni finalità.

Gli stessi dati, anche conservati nella stessa banca dati, possono essere usati per finalità diverse e a ogni finalità corrisponde un diverso termine di conservazione. In alcuni casi, poi, è la legge a imporre la conservazione per periodi definiti (ad esempio, dieci anni per i dati per gli adempimenti contabili e fiscali).

Nelle schede a fianco sono individuati i dati trattati con più frequenza dagli studi professionali e, a titolo esemplificativo, i possibili tempi di conservazione. Ma il compito di definirli spetta al titolare del trattamento.

Se pensiamo ai clienti di uno studio, i dati sono in genere trattati per eseguire l’incarico ricevuto, ma possono essere usati anche per attività di marketing, come l’invito a eventi.

I dati necessari all’esecuzione dell’incarico possono essere conservati fino a quando questo non è completato, cioè al raggiungimento della finalità per cui sono stati raccolti. Il titolare deve quindi stabilire un tempo per l’archiviazione, ad esempio dieci anni dalla fine dell’incarico.

Per le attività di marketing, invece, il tempo di conservazione in genere coincide con la revoca del consenso prestato dal cliente. A essere trattato, in questo caso, sarà probabilmente solo l’indirizzo email del cliente. Gli altri dati, invece, non possono essere conservati neanche un giorno per finalità di marketing.

La definizione dei tempi di conservazione deve essere fatta per tutti i trattamenti realizzati per i dati personali di candidati, dipendenti, collaboratori, fornitori. Per conservare correttamente i dati, dipendenti e collaboratori dovrebbero avere compiti specifici su quando e come cancellarli, il registro dei trattamenti andrebbe aggiornato e l’informativa agli interessati dovrebbe indicare i tempi di conservazione, o almeno i criteri usati per determinarli. In generale, una politica sulla conservazione dei dati ragionata è un valido strumento per dimostrare il rispetto del Gdpr ed evitare sanzioni.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti