• CM

Registro per tutti

Il Garante per la Protezione dei Dati Personali ha pubblicato le FAQ sul registro delle attività di trattamento previsto dall’art. 30 del Reg. 679/2016 (GDPR).

Le FAQ confermano l’orientamento già presente tra gli operatori del settore e pongono in risalto l’importanza di creare il Registro anche al di fuori dei casi in cui il documento è obbligatorio per legge. Infatti, il Garante lo descrive come “uno dei principali strumenti di accountability del titolare” necessario “per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.

L’obbligo di tenuta del Registro

Il GDPR prevede alcune eccezioni all'obbligo di tenuta del Registro destinate a imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio (anche non grave) per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa categorie particolari di dati personali ‘sensibili’.

Il Garante presenta alcuni esempi di soggetti che non rientrano nelle esclusioni, e che quindi sono obbligati alla tenuta del Registro, includendo in particolare:

  1. esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente e/o che trattino dati sanitari dei clienti;

  2. liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o relativi a condanne penali o reati.

La congiunzione e/o rende l’obbligo di tenuta del Registro particolarmente ampio, con la conseguenza che tale adempimento sia tassativamente richiesto a qualsiasi professionista o società che abbia almeno un dipendente, o che tratti qualsiasi dato personale di natura sanitaria (il Garante indica esplicitamente – tra gli altri – parrucchieri ed estetisti, odontotecnici, tatuatori e fisioterapisti).

Il dubbio se un’azienda sia o meno soggetta all'obbligo di tenuta del Registro è quasi sempre risolto in senso positivo, e il Registro diviene uno degli adempimenti focali per l’adeguamento al GDPR.

I contenuti

Le FAQ del Garante sviluppano i contenuti obbligatori del Registro richiesti dal GDPR, fornendo indicazioni che in alcuni casi semplificano l’adempimento, per esempio consentendo che i termini ultimi di conservazione dei dati personali vengano indicati mediante il riferimento a criteri come ‘norme di legge’ o ‘prassi settoriali’, e quindi senza specificazione del dato temporale ma con un rinvio ad altra fonte. Similmente, le misure di sicurezza tecniche e organizzative possono essere indicate in forma riassuntiva e sintetica, ad esempio riferendosi a ‘procedure organizzative interne’ o ‘security policy’, senza scendere nel dettaglio rispetto a tali misure.

Le prime indicazioni sulle ‘modalità semplificate’ di adeguamento per le PMI

In allegato alle FAQ il Garante fornisce due modelli ‘semplificati’ di Registro destinati alle PMI, rispettivamente per i trattamenti in qualità di titolare e di responsabile.

Si tratta di documenti Excel in cui le colonne – ovvero le categorie di informazioni da inserire – sono ridotte al minimo ed essenzialmente limitate a quei contenuti esplicitamente richiesti dal GDPR.

Sempre in ottica di semplificazione degli adempimenti, il Garante esplicita che nel caso in cui un soggetto con meno di 250 dipendenti sia tenuto a predisporre il Registro, potrà circoscrivere la registrazione a quei soli trattamenti che fanno scattare l’obbligo di tenuta, e non sarà tenuto a conservare un Registro completo (es. per il caso del parrucchiere e dell’estetista visti più sopra, il Registro potrà indicare solamente il trattamento che implica la conoscenza da parte del professionista di informazioni di natura sanitaria, ad esempio rispetto alle allergie dei clienti, e non dovrà indicare anche gli altri trattamenti svolti dall'azienda, come ad esempio quello relativo ai nomi e dati di contatto dei referenti presso i fornitori).

*

In generale, la linea del Garante è quella di consigliare la tenuta del Registro come primario strumento per dimostrare di aver affrontato l’adeguamento al GDPR. Infatti, tale documento (se preparato in maniera oculata) implica che i trattamenti all'interno dell’azienda siano stati mappati e analizzati dalla fase di acquisizione del dato personale, al suo trattamento interno e alla sua potenziale condivisione con terzi, e che siano state valutate per ciascun aspetto sia le basi giuridiche a legittimazione del trattamento (es. il consenso dell’interessato, l’adempimento ad un obbligo di legge, etc.), che le misure di sicurezza appropriate, di natura sia organizzativa che tecnica.

Registro per tutti, quindi.


CM

66 visualizzazioni

Post recenti

Mostra tutti

Avv. Cosetta Masi

C.F. MSACTT84T56L840I - P.IVA 03766790244

PEC: cosetta.masi@ordineavvocativicenza.it

iscritta all'Albo tenuto dall'Ordine degli Avvocati di Vicenza

Domicilio Fiscale:

Via Zanella 58 - 36010 Monticello Conte Otto (VI)

© 2017/2019 by Cosetta Masi