Con l’abrogazione della direttiva 95/46/CE ad opera del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 che regolamenta la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, denominato GDPR (General Data Protection Regulation). Il Regolamento è entrato in vigore il 25 Maggio 2016, ma si applicherà solamente a decorrere dal 25 Maggio 2018. Nonostante la diretta applicabilità e vincolatività in tutti i suoi elementi, in Italia l’art. 13 della L. n. 163/2017 (cd. “Legge di delegazione europea 2016-2017”) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle nuove disposizioni.
L’art. 30 del GDPR statuisce che i titolari del trattamento e i responsabili hanno l’obbligati di redigere e e conservare un registro delle attività di trattamento.
Per venire incontro ai dubbi e perplessità in ordine all’applicazione della nuova normativa sulla tutela dei dati personali è stato istituito il “Gruppo Art. 29” (denominato anche “WP29”). Il Gruppo è stato istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.
Il predetto organismo consultivo al fine di dirimere dubbi in ordine all’obbligo di cui all’art. 30 ed in particolare sulla parte di questa disposizione che parla delle deroghe alla tenuta del registro (paragrafo 5 art. 30 GDPR) ed ha basato il proprio parere sul n. 13 del GDPR il quale recita: Tenendo conto della situazione specifica delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni con meno di 250 dipendenti per quanto riguarda la tenuta dei registri.
Il contenuto dell’articolo 30, paragrafo 5 regola quanto stabilito nel considerando n.13. Nel paragrafo, oggetto di disamina, viene affermato che l’obbligo di tenuta di un registro delle attività di trattamento non trova applicazione “a un’impresa o a un’organizzazione che impiega meno di 250 persone, a meno che il trattamento che svolge non comporti un rischio per i diritti e le libertà degli interessati, il trattamento non è occasionale, o il trattamento comprende categorie speciali di dati di cui all’articolo 9, paragrafo 1 o dati personali relativi a condanne penali e reati di cui all’articolo 10”.
Il Gruppo Art. 29 puntualizza, nel proprio parere, che la deroga di cui all’articolo 30, paragrafo 5, non è assoluta. Infatti il paragrafo 5 individua tre tipi di trattamento per cui l’eccezione alla tenuta del registro non opera. Si tratta di:
- trattamenti che potrebbero comportare un rischio per i diritti e le libertà degli interessati;
- trattamenti di natura non occasionale (si considerano non occasionali quei trattamenti che non vengono svolti regolarmente e che vanno al di là del corso regolare delle attività di business di titolari o responsabili del trattamento);
- trattamenti che includono categorie speciali di dati o dati personali relativi a condanne penali e reati.
Il Gruppo Art. 29 puntualizza, inoltre, che la formulazione del paragrafo 5 vada interpretata nel senso che i tre tipi di trattamento ai quali la deroga non si applica sono alternativi (“o”) e il verificarsi di uno solo di essi comporta l’obbligo di mantenere la registrazione delle attività di trattamento.
Per risulta opportuno per gli enti a cui si applica la normativa sulla privacy (impresa, ente, organizzazione siano dotati di meno di 250 dipendenti, titolari del trattamento o responsabili del trattamento) che si trovano nella posizione di svolgere un trattamento che possa comportare un rischio (non solo un alto rischio) per i diritti delle persone interessate o un trattamento dei dati personali su base non occasionale o un trattamento di categorie speciali di dati ai sensi dell’articolo 9, paragrafo 1, o di dati relativi a condanne penali ai sensi dell’articolo 10 sono tenuti a conservare il registro delle attività di trattamento.
I su indicati, nei cui confronti si applica il regolamento UE sulla privacy, sono obbligate alla tenuta esclusiva del registro delle attività di trattamento per i tipi di trattamento di cui all’articolo 30, paragrafo 5. (Esempio una piccola organizzazione tratta regolarmente i dati relativi ai propri dipendenti. Non potendo essere considerato “occasionale” il trattamento di tali dati la predetta attività di trattamento dati deve essere inclusa nel registro delle attività di trattamento).
Per le altre attività di trattamento dati, a condizione che sia improbabile che tale trattamento così come svolto comporti un rischio per il diritto e la libertà degli interessati e non si trattino categorie particolari di dati o dati personali relativi a condanne penali e reati, svolte di fatto in modo “occasionali” non vanno incluse nel registro delle attività di trattamento.
Inoltre, viene evidenziato dal Gruppo Art. 29, che la tenuta del registro delle attività di trattamento è uno strumento utile per supportare nelle operazioni di analisi delle attività di trattamento per il titolare/responsabile.
Il registro facilita la valutazione fattuale del rischio delle attività di trattamento svolte da un titolare o responsabile del trattamento sui diritti delle persone, permettendo di identificare e attuare adeguate misure di sicurezza per salvaguardare i dati personali, componenti chiave del principio di responsabilità contenute nel GDPR. Quindi diventa uno strumento valido per tutti coloro che devono conformarsi al GDPR, in quanto espressione reale del principio di accountability (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento(si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento).
Il Gruppo Art. 29 ha affermato che la tenuta di un registro delle attività di trattamento non comporti oneri particolarmente gravosi a carico delle micro, piccole e medie organizzazioni, tuttavia, riconosce che l’articolo 30 rappresenti comunque una nuova incombenza amministrativa a carico di titolari del trattamento e responsabili del trattamento, ragion per cui incoraggia le Autorità di controllo a supportare le PMI, fornendo ad esse validi strumenti per facilitare l’istituzione e la gestione dei registri delle attività di trattamento.
Allegati
