Semplificazione Registri dei Trattamenti per PMI

By | 9 maggio 2018

Al Congresso di AssoDPO Luigi Montuori (ufficio del Garante), parlando delle recenti attività del WP29, ha citato una recente “position paper” sull’esenzione dai Registri dei Trattamenti.

Ricordo che l’art. 30(5) recita: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Il WP29 ribadisce che l’esenzione non vale nei tre casi indicati (rischio per i diritti, trattamento non occasionale o dati sensibili/giudiziari), ma che le PMI sono tenute a mettere nei registri SOLO i trattamenti di quei tre tipi:

“However, such organisations need only maintain records of processing activities for the types of processing mentioned by Article 30(5). For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities. Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences”.

Qualche piccolo cliente (o piccola controllata, magari estera) potrebbe aver sentito parlare dell’esenzione, quindi bisognerà decidere se applicare la limitazione proposta dal WP29, oppure abbondare. Personalmente resto dell’opinione che non si possa fare data protection senza sapere quali dati si trattano, quindi bisogna avere un registro completo. Confermato ieri, sempre al Congresso AssoDPO, dal col. Marco Menegazzo (Resp. Nucleo Privacy GdF) a proposito di attività ispettive: “la prima cosa che chiederemo è di parlare con il DPO, la seconda di vedere il Registro”.

Lascia un commento