Come cambiano le regole per le imprese e gli imprenditori che intendono gestire dati personali. Alla luce infatti del regolamento UE, il provvedimento stabilito dal Garante (quello del 24 Febbraio 2005 sulle Fidelity Card) può considerarsi superato, quest’ultimo assumeva che i dati personali acquisiti per scopi di marketing profilato (con Fidelity Card) potessero essere conservati per un limite di uno o due anni.

Il regolamento stabilisce che lo stesso titolare del trattamento possa fissare il termine della conservazione dei dati e/o la modalità per calcolarlo.

Non è tutto così semplice però, l’impresa o l’imprenditore, deve essere in grado di dare una spiegazione riguardo le tempistiche da lui scelte, ad esempio basandosi sul ciclo di vita di un prodotto o sui tempi di acquisto dei consumatori. Il Garante quindi non stabilirà più dei limiti in questi casi, ma potrà sempre controllare, è per questo che all’interno dell’informativa presentata al cliente/interessato, dovranno essere presenti anche i motivi che spiegano le tempistiche di trattenimento dei dati personali. Colui che tratta i dati, dovrà distinguere tra tre principali finalità: fidelizzazione, profilazione e marketing diretto, qualsiasi sia quella scelta sono comunque imprescindibili i principi di trasparenza e non eccedenza, ovvero i dati dovranno sempre essere usati il minimo indispensabile, preferendo quelli anonimi e in proporzione a quanto necessario per lo scopo da raggiungere.

A questo proposito, il Garante specifica “devono essere poste in distinta e specifica evidenza, le caratteristiche dell’eventuale attività di profilazione e/o di marketing” e inoltre che il consenso da parte del cliente deve essere “specifico, informato e distinto per ciascuna di esse”.

L’art. 5 par. 1 lett. e) del Regolamento UE n. 679/2016 deve essere preso da regola per il titolare che dovrà tenere a mente “i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per i quali sono trattati”.

Inoltre, il Regolamento UE precisa anche “onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica”.

Alla luce di tutto questo quindi, possiamo affermare che, anche se le tempistiche per il trattenimento dei dati personali non saranno più stabilite dall’alto, per le aziende e gli imprenditori sarà comunque di primaria importanza formarsi sulla regolamentazione GDPR e studiare un piano specifico per queste casistiche, assicurandosi che le proprie attività non corrano alcun rischio e siano in piena regola.