In questa fase grottesca di lacuna normativa si può, nell'attesa del famoso decreto, mantenere un aggancio del tutto volontaristico alle misure previste proprio nella non più vigente Autorizzazione 7/2016, in quanto applicabili nel nuovo contesto normativo. Queste misure sono riassumibili nel concetto di INDISPENSABILITA' del trattamento o dei trattamenti “per perseguire scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o da un contratto collettivo” - cfr. Capo II della Autorizzazione citata, relativo ad organismi di tipo associativo e fondazioni. Nel Capo VII, concernente le prescrizioni comuni a tutti i trattamenti considerati dal provvedimento, sono ripetutamente utilizzati termini come “strettamente necessario” e “strettamente indispensabile”.
E' in ogni caso obbligo del Titolare applicare, ai sensi dell'art. 32 del Regolamento, tutte le misure ritenute adeguate a garantire la sicurezza dei dati e - a maggior ragione - di questi dati, atteso che, per esempio, la loro perdita o sottrazione accidentale potrebbero risultare particolarmente pregiudizievoli per gli interessati. Si può pensare, per esempio, a cautele come la loro segregazione rispetto agli altri, la loro cifratura, la limitazione degli addetti autorizzati a trattarli.
Ciò premesso, poter dimostrare che l'impossibilità di interrompere o addirittura cessare determinati trattamenti e il momentaneo vuoto normativo, non hanno impedito al Titolare di compiere ogni sforzo ragionevole per supplire allo stesso guardando alla sostanza del problema, dovrebbe fare e (secondo me) fa la differenza.
