RISERVATEZZA DEI DATI

GDPR: quando la tenuta dei registri è obbligatoria

L’art. 30 GDPR contiene indicazioni circa la corretta redazione dei registri delle attività di trattamento, ovverosia una misura di carattere documentale che ciascun titolare e responsabile del trattamento è obbligato ad adottare salvo non incorra nelle ipotesi di esenzione contenute nel paragrafo 5.

Coerentemente con il considerando n. 13, secondo il quale “Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni.” è infatti prevista l’esenzione dalla tenuta dei registri qualora l’organizzazione sia collocata al di sotto di tale soglia dimensionale. La portata di tale esenzione però non è assoluta, come chiarito dal Position Paper dell’Art.29WP a riguardo, pubblicato già dal 19 aprile 2018.

Le attività di trattamento di dati personali a cui non si applica l’esenzione dalla tenuta dei registri, e che dunque devono essere adeguatamente registrate ed aggiornate da parte dei titolari e dei responsabili del trattamento, sono:

  • trattamenti che espongono ad un rischio i diritti e le libertà degli interessati;
  • trattamenti svolti in modo non occasionale;
  • trattamenti che includono dati di categorie particolari o relativi a condanne penali, reati e connesse misure di sicurezza.

È bene considerare dunque che solo un titolare o responsabile con meno di 250 dipendenti che non svolge alcuna di tali attività può dirsi dispensato dall’obbligo di tenuta dei registri delle attività di trattamento. Il chiarimento offerto dall’art. 29WP attraverso il Position Paper evidenzia due punti fondamentali, ovverosia:

  • che il concetto di rischio per i diritti e le libertà degli interessati non va confuso con il concetto di “rischio elevato”, contemplato ad esempio per l’obbligo di valutazione d’impatto all’art. 35 GDPR;
  • che il concetto di “trattamento occasionale” deve essere interpretato facendo riferimento al WP262 e alla definizione di “non ripetitivo” contenuta con riguardo alla deroga sulle regole dei trasferimenti dei dati verso paesi terzi o organizzazioni internazionali contenuta nell’art. 49.1 lett. g) GDPR.

Sul secondo punto, inoltre, viene precisato che il carattere di occasionalità deve essere valutato facendo riferimento in concreto all’attività regolarmente svolta dal titolare o dal responsabile, costituendo dunque un’eccezione sia per un fattore di circostanze (ovverosia: attività generalmente non prevedibili e comunque non sistematiche) che di tempo (ovverosia: attività non continuative e comunque non stabili).

Entrambi i punti devono, di conseguenza, essere oggetto di analisi in ordine alla valutazione della sussistenza dell’obbligo di tenuta dei registri. Tale valutazione, poiché costituisce il presupposto di una scelta da parte del titolare o del responsabile, deve comunque trovare un’adeguata dimostrazione ed essere coerente con la documentazione redatta. Ad esempio, in ossequio al principio di responsabilizzazione, il titolare del trattamento deve precisare all’interno dell’accordo redatto con il responsabile ai sensi dell’art. 28 GDPR l’eventuale sussistenza (o meno) di un’esenzione dalla tenuta dei registri di cui all’art. 30.2 GDPR.

Concludendo, dunque, le esenzioni dall’adempimento di tenuta dei registri è un’ipotesi residuale per una quantità veramente ridotta di attività di trattamento. La presenza di un singolo dipendente o di un modulo contatti sul sito, ad esempio, comporta l’obbligo di registrare i relativi trattamenti. 

La misura adottata dall’Autorità Garante italiana è stata la messa a disposizione di versioni “semplificate” di tali registri, riconoscendo (coerentemente con il Position Paper dell’art.29WP) l’onerosità non eccessiva e l’importanza di tale strumento per la gestione degli adempimenti anche per le piccole organizzazioni (ad esempio: per l’individuazione delle corrette basi giuridiche, il censimento e la verifica delle misure di sicurezza e la redazione delle informative).

Tags
Back to top button
Close
Close