Ricerche & Quaderni » Eventi e materiali

Privacy. Imprese con meno di 250 dipendenti e obbligo di tenuta del Registro dei Trattamenti

24 MAG 2018

IL PROBLEMA. Il 25 maggio 2018, come è noto, scade il termine per l'adeguamento ai nuovi adempimenti previsti dal Reg. UE n. 679/2016 "General Data Protection Regulation" (di seguito "GDPR"). Tra le principali novità introdotte dal citatoRegolamento vi sono sicuramente i principi di Privacy by design e Privacy by default (art. 25), l'istituzione del Registro dei Trattamenti (art. 30), la redazione del Data Protection Impact Assessment (artt. 35-36) e la nomina del Data Protection Officer(artt. 37-39). È interessante soffermarsi, in particolare, sul disposto dell'art. 30 GDPR al fine di agevolare una corretta interpretazione della norma, soprattutto alla lucedell'interpretazione della norma contenuta nel Position Paperpubblicato dal Gruppo di Lavoro Articolo 29 in data 19 aprile 2018 ("Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR"). Questa interpretazione, infatti, ha una peculiare valenza, posto che proviene dalle Autorità Garanti della Privacy di ciascuno Stato Membro, che insieme compongono l'Articolo 29.
L'art. 30 GDPR impone ad ogni Titolare del trattamento - seppur con alcune deroghe - l'obbligo di istituire un Registro dei Trattamenti che contenga tutte le indicazioni elencate dal primo paragrafo del medesimo articolo, quali, ad esempio, il nome e i dati di contatto del Titolare, le finalità del trattamento, una descrizione delle categorie dei soggetti interessati e delle categorie di dati personali trattati, e così via.
La principale criticità dell'art. 30 GDPR è rappresentata dalla deroga prevista al quinto paragrafo, secondo cui le imprese o organizzazioni che hanno meno di 250 dipendenti non sono tenute all'istituzione del Registro, salvo che il trattamento i) "possa presentare un rischio per i diritti e le libertà dell'interessato", ii) "non sia occasionale" o iii) "includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, [che corrispondono ai ‘dati sensibili' dell'attuale Codice della Privacy] o i dati personali relativi a condanne penali e a reati di cui all'articolo 10". Principale criticità, si è detto, perché la formulazione del paragrafo in esame non ne consente un'immediata e corretta interpretazione. Da una prima lettura, infatti, può sembrare che la ratio della norma sia quella di escludere le piccole e medie imprese dall'obbligo di istituzione del Registro; tuttavia, così non è.
Al fine di fare luce sull'interpretazione del paragrafo in esame, a seguito delle molteplici perplessità manifestate dalle imprese, è di recente intervenuto il Gruppo di Lavoro Articolo 29, il quale, mediante la pubblicazione di un Position Paper, ha precisato la portata della norma affermando come, affinché sorga l'obbligo di istituzione del Registro, sia sufficiente che ricorra una delle tre ipotesi elencate supra, indipendentemente dal fatto che l'impresa o l'organizzazione abbia meno di 250 dipendenti. Non è tutto. L'Articolo 29, infatti, è intervenuto anche il relazione all'espressione "il trattamento non sia occasionale", chiarendo che il trattamento in modo stabile di dati personali rende necessaria la redazione del Registro dei Trattamenti.
CONCLUSIONI. Ci si domanda, allora, chi possa dirsi esente dall'obbligo di cui all'art. 30 GDPR. Alla luce dell'intervento chiarificatore dell'Articolo 29, pare proprio che l'obbligo scatti per tutti, a prescindere dalle dimensioni dell'organizzazione, dalla natura del dato (personale o sensibile) o dal potenziale lesivo del trattamento. In tal senso è formulato anche l'esempio proposto dal Gruppo di Lavoro, il quale afferma che i dati dei dipendenti non possono dirsi trattati occasionalmente, ragione per cui devono essere inclusi tra i soggetti con l'obbligo di istituire il Registro dei Trattamenti coloro che abbiano personale alle loro dipendenze. Pertanto, allo stato attuale, è consigliabile anche alle piccole e medie imprese con meno di 250 dipendenti istituire e mantenere il Registro dei Trattamenti, al fine di essere certe di non violare un obbligo di legge, evitando così di incorrere in eventuali sanzioni.
Michele Cisolla