Per la cancellazione o la verifica del database va stabilito un termine
Uno degli aspetti più problematici dell’adeguamento al regolamento è quello della stima dei tempi di conservazione dei dati. La normativa prevede che questi ultimi debbano essere mantenuti fino a quando appaiono necessari per il raggiungimento della finalità per la quale sono stati raccolti. In alcuni casi la determinazione è (abbastanza) agevole, mentre in altri appare problematica.
Ad esempio, i dati utilizzati per gestire un mandato ricevuto potrebbero dover essere conservati anche per soddisfarne altri: si pensi a un contenzioso che si apre con lo stesso cliente con cui non si raggiunge un accordo sul pagamento degli onorari. Ovviamente, in questo caso, cambia la finalità, ma è indubbio che si tratti dei medesimi dati. In questo senso, il legislatore, consapevole della difficoltà di stabilire sempre e con certezza un termine di conservazione, richiama alla necessità che il titolare del trattamento si assicuri che i dati non siano conservati più a lungo del necessario e che sia stabilito un termine per la loro cancellazione o per la verifica periodica.
Ciò che è importante, perciò, è che emerga una stima ragionata da parte del titolare sul come e perché si sia deciso di assegnare un determinato termine alla conservazione dei dati prima di procedere alla loro cancellazione ovvero che sia prevista costantemente un’eventuale rettifica.
Vi sono, però, anche altri aspetti che richiedono al professionista di dotarsi di un’adeguata organizzazione interna per trattare i dati di cui entra in possesso. È il caso dei principi di legittimità su cui deve basarsi un trattamento, che deve essere lecito e corretto e deve avvenire all’insegna della più assoluta trasparenza, nel senso che l’interessato deve essere informato in modo semplice e chiaro. Poiché i dati sono raccolti per il raggiungimento di una finalità, il titolare dovrebbe accertarsi sempre se quella finalità possa essere raggiunta anche senza la conoscenza di quei dati ovvero limitare gli stessi: è il cosiddetto principio di minimizzazione, secondo cui i dati devono essere adeguati, pertinenti e limitati. Un altro principio di fondamentale importanza è quello dell’esattezza, secondo cui il dato può mutare nel tempo e quindi, a tutela dell’interessato, esso deve essere aggiornato e protetto da adeguate misure tecniche e organizzative per evitarne l’alterazione, i trattamenti illeciti, la perdita o la distruzione.
Il titolare dello studio deve, perciò, strutturarsi in modo da avere contezza dei dati che tratta e che ciò avvenga nel rispetto dei principi di cui si è detto.Nel caso di una piccola struttura che comunque occupa più persone, sarà bene che vi sia un referente data protection che abbia conoscenza sia della materia, dal punto di vista giuridico e tecnico-informatico, sia della struttura e dell’impatto verso la disciplina. Questo approccio di concreta consapevolezza tornerà utile anche di fronte a un atteso intervento del Garante volto a una semplificazione per le Pmi, di cui beneficeranno anche i piccoli studi professionali; semplificazione che però non farà venire meno il principio della responsabilizzazione (accountability), cardine di tutto il sistema e della disciplina stessa.