Studi professionali, i dati non sono per sempre: tagliando per la retention

Dai clienti ai fornitori, dai dipendenti ai collaboratori, fino al contenzioso. Coprono un’ampia casistica i dati personali custoditi dagli studi professionali. Attenzione però: i dati non possono essere conservati per sempre (salvo alcune eccezioni, come per gli archivi storici). E chi li trattiene oltre i tempi previsti, violando le regole sui limiti alla conservazione dei dati (data retention), rischia sanzioni e responsabilità.

Per questo i professionisti devono non solo stabilire delle regole di conservazione dei dati, ma anche aggiornarle in caso di modifiche ai trattamenti realizzati e verificarne periodicamente la corretta attuazione. In pratica, occorre fare una sorta di “tagliando di data retention” per assicurarsi che i dati siano effettivamente cancellati.

Già presente nel “vecchio” Codice Privacy, il principio della limitazione della conservazione dei dati è stato ampliato dal Gdpr. Infatti, l’articolo 5, comma 1, lettera e), del regolamento 2016/679 stabilisce che i dati non possono essere conservati in una forma che consenta di identificare la persona fisica per un arco di tempo superiore a quanto necessario a raggiungere le finalità per cui i dati sono trattati, salvo specifiche eccezioni.

In breve, i dati devono essere cancellati o resi (veramente) anonimi quando non sono più utili allo scopo per cui sono raccolti. In caso di violazione si applicano le sanzioni più alte stabilite dal Gdpr (20 milioni di euro o il 4% del fatturato totale annuo dell’esercizio precedente, se superiore).

Rispettare i limiti alla conservazione dei dati, in genere, è un adempimento di difficile gestione. Anche perché, nonostante l’obbligo imposto dal Gdpr, resiste ancora un approccio bulimico nei confronti delle informazioni: ne raccolgo il maggior numero possibile e le conservo a tempo indeterminato, perché in futuro potrebbero essere utili.

Oltre a far rischiare le sanzioni, conservare dati “inutili” espone il titolare a diverse responsabilità, ad esempio in termini di sicurezza: più sono i dati conservati, maggiori i rischi di perdita o violazioni.

I tempi di conservazione dei dati personali, essendo legati al periodo necessario per raggiungere le finalità per cui sono stati trattati, variano da caso a caso. Per definirli, il titolare del trattamento deve identificare:

1) i trattamenti realizzati;

2) la finalità di ogni trattamento;

3) i dati necessari a ogni finalità.

Gli stessi dati, anche conservati nella stessa banca dati, possono essere usati per finalità diverse e a ogni finalità corrisponde un diverso termine di conservazione. In alcuni casi, poi, è la legge a imporre la conservazione per periodi definiti (ad esempio, dieci anni per i dati per gli adempimenti contabili e fiscali).

Nella scheda in fondo al pezzo sono individuati i dati trattati con più frequenza dagli studi professionali e, a titolo esemplificativo, i possibili tempi di conservazione. Ma il compito di definirli spetta al titolare del trattamento.

Se pensiamo ai clienti di uno studio, i dati sono in genere trattati per eseguire l’incarico ricevuto, ma possono essere usati anche per attività di marketing, come l’invito a eventi.

I dati necessari all’esecuzione dell’incarico possono essere conservati fino a quando questo non è completato, cioè al raggiungimento della finalità per cui sono stati raccolti. Il titolare deve quindi stabilire un tempo per l’archiviazione, ad esempio dieci anni dalla fine dell’incarico.

Per le attività di marketing, invece, il tempo di conservazione in genere coincide con la revoca del consenso prestato dal cliente. A essere trattato, in questo caso, sarà probabilmente solo l’indirizzo email del cliente. Gli altri dati, invece, non possono essere conservati neanche un giorno per finalità di marketing.

La definizione dei tempi di conservazione deve essere fatta per tutti i trattamenti realizzati per i dati personali di candidati, dipendenti, collaboratori, fornitori. Per conservare correttamente i dati, dipendenti e collaboratori dovrebbero avere compiti specifici su quando e come cancellarli, il registro dei trattamenti andrebbe aggiornato e l’informativa agli interessati dovrebbe indicare i tempi di conservazione, o almeno i criteri usati per determinarli. In generale, una politica sulla conservazione dei dati ragionata è un valido strumento per dimostrare il rispetto del Gdpr ed evitare sanzioni.

I DATI TRATTATI E I TEMPI (INDICATIVI) DI CONSERVAZIONE

Sono trattati, tra gli altri, i dati anagrafici, di contatto, la corrispondenza e la documentazione fornita per lo svolgimento dell'incarico;
Possono essere conservati per dieci anni dalla cessazione dell'incarico professionale;
È opportuno aggiornarli ogni 12 mesi.

Sono trattati i dati richiesti per legge (ad esempio....);
Per legge devono essere conservati per dieci anni dalla cessazione dell'incarico professionale;
È opportuno aggiornarli ogni 12 mesi.

Per fini di marketing – ad esempio per l'invito a eventi – è opportuno utilizzare solo l'indirizzo e-mail del cliente;
Può essere conservato solo fino alla revoca del consenso prestato per finalità di marketing;
i dati di cui si è in possesso per altre finalità non possono essere usati a fini di marketing;
L'aggiornamento del dato dovrebbe essere continuo.

Gli studi professionali trattano, tra gli altri, i dati anagrafici e di contatto dei fornitori, i dati di contratti, pagamenti e note di credito;
Possono essere conservati per dieci anni dopo la registrazione del contratto e l'avvenuto pagamento della fornitura;
È opportuno procedere all'aggiornamento ogni 12 mesi.

DIPENDENTI

Sono trattati, tra gli altri, i dati anagrafici e di contatto dei candidati, i curricula presentati, le informazioni raccolte durante le interviste;
Per le selezioni ordinarie, i dati possono essere conservati da tre a sei mesi dopo l'invio della candidatura;
Per le selezioni di ruoli apicali, i dati possono essere conservati da sei a 12 mesi dopo l'invio della candidatura;
È buona norma aggiornare i dati conservati nelle banche dati ogni 3/6 mesi
Possono essere previste eccezioni accompagnate da specifici adempimenti (come, ad esempio, un'informativa ad hoc o una specifica base giuridica).

Sono trattati, tra gli altri, i dati anagrafici e di contatto dei dipendenti, la qualifica, la retribuzione, la valutazione della prestazione, il contratto, le presenze e le assenze, i viaggi
Possono essere conservati per dieci anni dalla cessazione del rapporto di lavoro;
È opportuno aggiornare i dati dei dipendenti ogni 12 mesi.

Sono trattati, ad esempio, i dati anagrafici e di contatto dei collaboratori, quelli relativi alla retribuzione e al contratto;
I dati dei collaboratori possono essere conservati per dieci anni dalla cessazione del rapporto di collaborazione;
È opportuno procedere all'aggiornamento ogni 12 mesi.

I dati trattati sono quelli contenuti nei documenti relativi a contenzioso di carattere civile, amministrativo e penale, inclusa la casistica della gestione degli insoluti e delle situazioni di morosità;
Possono essere conservati fino alla definizione della controversia (in pratica, fino al passaggio in giudicato della sentenza o alla chiusura del procedimento amministrativo);
È opportuno aggiornarli ogni 12 mesi.