x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

GDPR - Garante Privacy: FAQ sul registro delle attività di trattamento

GDPR - Garante Privacy: FAQ sul registro delle attività di trattamento
GDPR - Garante Privacy: FAQ sul registro delle attività di trattamento

Altri articoli dell'autore

Diritto /

Editoriale

Diritto /

Editoriale Trust, impresa e famiglia

Diritto /

Editoriale Sistema 231

L’Autorità Garante per la protezione dei dati personali (“Autorità”) ha pubblicato in data 8 Ottobre 2018 le proprie istruzioni (FAQ) sul registro delle attività di trattamento (“Registro”).

L’intervento dell’Autorità vuole evidentemente fornire soluzioni operative e chiarimenti sul contenuto del Registro e sui soggetti tenuti alla redazione dello stesso nonché modelli di “registro semplificato” delle attività di trattamento sia del titolare che del responsabile per PMI.

Dal punto di vista dei soggetti tenuti alla redazione del Registro, l’Autorità si pone sulla scia della posizione espressa dal Gruppo ex articolo 29 lo scorso aprile, rinviando, mediante link, al relativo documento.

Nelle FAQ, i soggetti obbligati – coerentemente con quanto indicato all’articolo 30, par. 5 del Regolamento (UE) 2016/679 (“GDPR”) – sono individuati come segue:

a) le imprese o organizzazioni con almeno 250 dipendenti;

b) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possono presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;

c) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;

d) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, par. 1 del GDPR o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.

In sostanza, per l’Autorità, considerata la valenza del Registro quale strumento operativo preliminare rispetto alle attività di analisi del rischio ed ai successivi adempimenti individuati dal titolare sulla scorta dell’accountability, l’obbligo della tenuta del Registro è previsto non solo per le imprese/organizzazioni non rientranti nella categoria delle PMI (con almeno 250 dipendenti), ma anche per una serie di soggetti inquadrabili tra le PMI, quali a titolo esemplificativo:

- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

- associazioni, fondazioni e comitati che trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza, associazioni a tutela di soggetti c.d. “vulnerabili”, quali ad esempio malati, persone con disabilità, ex detenuti ecc.;, associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

- condomini, qualora trattino “categorie particolari di dati”.

Dunque, sulla scorta delle indicazioni dell’Autorità: nessuno o pochissimi sarebbero esclusi dall’obbligo di redazione e tenuta del Registro: è difficile, infatti, immaginare casi che possano rientrare tra i soggetti non obbligati, non avendo – ad esempio – all’interno della relativa organizzazione alcun dipendente o non trattando dati compresi nelle categorie particolari di dati personali.

Vale, comunque, la pena di rilevare che l’intento del legislatore europeo nell’approntare la nuova disciplina della protezione dei dati personali era stato quello – certamente – di prevedere un rafforzamento della tutela nell’ottica di favorire un maggiore controllo da parte delle persone fisiche ma, al contempo, di tenere conto delle esigenze di semplificazione per soggetti di ridotte dimensioni.

Ne è la riprova il considerando 13, che precisa che: “Per tenere conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento”.

Istruzioni di carattere operativo si rinvengono, inoltre, nel quesito n. 3 delle FAQ, relativamente al contenuto del Registro.

In particolare, si segnalano le seguenti indicazioni:

- nel campo “finalità del trattamento” l’Autorità suggerisce di prevedere anche la relativa base giuridica, nonché, nei casi in cui la base giuridica sia rappresentata dal legittimo interesse, di specificare anche la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate e – qualora effettuata – la preventiva valutazione di impatto;

- nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati”, è precisato di includere tutti i soggetti destinatari dei dati, inclusi gli altri titolari (quali, ad esempio, gli enti previdenziali), i responsabili e gli eventuali sub-responsabili, in modo da permettere al titolare di disporre di una visuale completa del novero dei soggetti coinvolti nel trattamento dei dati;

- nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” sono forniti suggerimenti per i casi in cui non sia possibile individuare preventivamente il relativo periodo di conservazione (ad esempio, per esigenze difensive);

- nel campo “descrizione generale delle misure di sicurezza” è suggerito di includere tutte le misure tecniche e organizzative adottate, con la precisazione che l’elenco delle stesse deve avere carattere dinamico, ed essere di conseguenza continuamente adeguato alla realtà di riferimento, in considerazione degli sviluppi della tecnologia e dei nuovi rischi.

Nel perseguimento dell’obiettivo di semplificazione – anche in aderenza a quanto previsto dall’articolo 154 – bis, 4° comma, del vigente Codice della protezione dei dati personali – l’Autorità allega infine modelli di “registro semplificato” delle attività di trattamento sia per i titolari che per i responsabili, individuando gli elementi essenziali da riportare in ciascuna scheda di registro, quali (per i titolari) la tipologia, le finalità e basi legali del trattamento, le categorie di interessati, le categorie di dati personali, le categorie di destinatari, i trasferimenti verso paesi terzi, i termini ultimi di cancellazione previsti e le misure di sicurezza tecniche ed organizzative.

Tali modelli potranno essere compilati ed aggiornati dai soggetti/organizzazioni di ridotte dimensioni, fermo restando che – come anche rilevato dalla stessa Autorità – nelle schede del Registro potranno essere riportate informazioni ulteriori che il titolare o il responsabile ritengano comunque utili (ad esempio, modalità di raccolta del consenso, eventuali valutazioni di impatto effettuate o l’indicazione di eventuali referenti interni per specifici trattamenti di dati).

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Diritto /

Il contributo annuale al Consiglio dell’Ordine: disciplina, natura e conseguenze del suo mancato versamento

Newsletter Abbonamenti