Nella sottile schermaglia dell’uso dei termini più adatti e adattabili, il GDPR non prevede un generico obbligo di cancellazione dei dati, bensì di conservazione degli stessi fino a richiesta di cancellazione da parte dell’interessato o fino alla scadenza del temine scelto dal Titolare del trattamento. Non è una distinzione di poco conto, in quanto la possibilità per ogni gestore di dati di stabilire il termine di conservazione, che può andare ben oltre quello, ad esempio, necessario all’esecuzione di obblighi fiscali o di prescrizione, consente di poterli gestire e monitorare: una pacchia per le aziende che si occupano di marketing e profilazione una volta avuto il consenso. Del resto la norma è chiara: ai sensi dell’art. 5 lett. E GDPR, i dati devono essere "conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici".

Per una normale azienda che si occupa solo ed esclusivamente del proprio commercio, la conservazione del dato può essere quindi vista solo come una attività onerosa ed inutile, ma ben può essere valutata nella diversa prospettiva di poter predisporre archivi sistematici della clientela e, previo ottenimento di un legittimo consenso, disporre di elementi che potranno permettere di conoscere meglio la propria clientela e che, talvolta, le aziende medio piccole non avevano preso in considerazione. Ergo, dato che oggi siamo obbligati a richiedere e conservare alcuni dati, tanto vale farne uso ai fini del miglioramento delle strategie aziendali.

Si noti che, sul punto, mentre la ormai superata Legge Privacy permetteva al Titolare la possibilità di scegliere se indicare o meno nell’informativa il tempo di conservazione dati, il GDPR lo prevede come obbligo. Una prima osservazione viene spontanea quando, specialmente in rete, ci imbattiamo in informative che, a seguito di un pedissequo copia incolla del testo del GDPR, si limitano ad indicare che i dati, salvo richiesta di cancellazione, devono essere conservati per un determinato periodo, ma detto periodo non viene indicato e mancano anche le indicazioni minimali ad individuarlo, lasciando così scoperta l’azienda. Sia detto una volta per tutte e non si dimentichi: il periodo di conservazione del dato deve essere chiaramente indicato come elemento essenziale nell’informativa sottoposta all’interessato; laddove ciò non fosse si incorre in una palese violazione del GDPR. Il periodo potrebbe essere eventualmente indicato non in termini strettamente temporali (cinque o otto anni), ma anche con un’indicazione che permetta all’Interessato di conoscerlo con certezza come, ad esempio, indicare che il periodo di conservazione coinciderà con quello previsto dalla vigente normativa fiscale per adempiere obblighi di legge.

Sul punto è intervenuta l’Autorità Garante in materia di Fidelity Card, indicando periodi di dodici e ventiquattro mesi, ma oggi il principio di accountability lascia il Titolare libero di indicare il periodo di conservazione, pur dovendo giustificare le ragioni della sua scelta. Ciò vuol dire che, oggi, nella vigenza di una normativa che impone cautele nel trattamento dati è lecito per un Titolare conservarli all’infinito o fino a revoca del consenso? Sembrerebbe in tal senso che si vada proprio nella direzione opposta del GDPR, ma un intervento del Garante sul punto è dubbio possa giungere, come già avvenuto nel vigore della precedente normativa.

In attesa di un chiarimento sul punto, peraltro, ogni azienda ha la possibilità di valutare le proprie necessità anche temporali di conservazione dei dati e non usarli solo a fini fiscali o di conclusione di un contratto, ma anche4 per poter svolgere, sempre nella legalità, anche solo un minimo di uso a fini commerciali e di gestione.