L’8 ottobre il Garante per la Protezione dei Dati Personali ha pubblicato i propri chiarimenti in merito all’obbligo di tenuta del registro delle attività di trattamento da parte di imprese ed organizzazioni con meno di 250 dipendenti.
In generale, ai sensi dell’art. 30 GDPR, “[o]gni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il registro contiene le principali informazioni relative alle operazioni di trattamento svolte, espressamente elencate all’art. 30, par. 1[1].
Il GDPR prevede una deroga, al suddetto obbligo, in favore delle imprese o organizzazioni con meno di 250 dipendenti. Ai sensi dell’art. 30, par. 5 GDPR, infatti, le imprese o organizzazioni con meno di 250 dipendenti sono esenti dall’obbligo di tenuta del registro, ad eccezione dei casi in cui esse effettuino trattamenti rientranti in una delle seguenti ipotesi alternative[2]:
- il trattamento genera un rischio per i diritti e le libertà dell'interessato oppure
- il trattamento non è occasionale (ossia viene svolto regolarmente nell’ambito dell’attività dell'ente)[3] oppure
- il trattamento include categorie particolari di dati di cui all'art. 9, par. 1 GDPR[4], o i dati personali relativi a condanne penali e a reati di cui all'art. 10 GDPR[5].
In considerazione della novità prevista al riguardo dall’art. 30, il Gruppo di Lavoro Articolo 29 (WP29) incoraggia le Autorità nazionali a fornire alle PMI strumenti che ne agevolino gli adempimenti, quali ad esempio la predisposizione di modelli semplificati per la tenuta del registro[6].
Seguendo le raccomandazioni del WP29, il Garante per la protezione dei dati personali ha pubblicato il modello semplificato con le relative FAQ per la tenuta del registro da parte delle imprese o organizzazioni con meno di 250 dipendenti, per le ipotesi in cui esse risultino assoggettate all’obbligo ai sensi dell’art. 30, par. 5 GDPR.
Nelle FAQ il Garante chiarisce che “[r]ientrano nella categoria di ‘organizzazioni’ di cui all’art. 30, par. 5 anche le associazioni, le fondazioni e i comitati”. Alla luce dell’art. 30, par. 5 GDPR, sono obbligati a tenere il registro “ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali)”.
Il Garante ricorda altresì che in ogni caso, ove siano obbligate alla tenuta del registro, le imprese e organizzazioni con meno di 250 dipendenti beneficiano di misure di semplificazione, “potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento)”.
[1] Nel registro devono essere indicati: il nome e i dati di contatto del titolare del trattamento; le finalità del trattamento; le categorie di interessati e di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali, ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale; ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati ed, infine, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'art. 32, par. 1 GDPR (cfr. art. 30 par. 1).
[2] Si veda Working Party 29, Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.
[3] “For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities. Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences”. In tal senso, WP29, Position paper cit.
[4] L’art. 9, par. 1 GDPR prevede che “[è] vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.
[5] Si veda art. 30, par. 5 GDPR.
[6] Si veda in tal senso WP29, Position paper cit.