Modello di Registro delle attività di trattamento semplificato per le PMI e regole meno stringenti per imprese, professionisti e attività con un solo dipendente, recentemente pubblicato sul sito del Garante per la protezione dei dati, il quale ha fornito ulteriori chiarimenti in merito alla tenuta di tale registro.
Ricordiamo che l’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento, un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
In merito alle piccole realtà aziendali e, alla luce di quanto previsto dall'articolo 30, il Garante fornisce alcuni esempi di piccole e medie imprese e piccoli professionisti tenuti all’obbligo di redazione del registro, ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
-
associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati
(i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); - il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Tuttavia, nonostante l'obbligo di tenuta del registro esteso alle PMI, le imprese e organizzazioni con meno di 250 dipendenti obbligate potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
A seguito di questi recenti chiarimenti è stato pubblicato il Modello di Registro delle attività di trattamento semplificato per le PMI e, nelle FAQ aggiornate dal Garante, indicate anche le informazioni che deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.
