Il regolamento generale europeo semplifica la vita delle PMI?
Le autorità europee non perdono occasione di affermare che il regolamento europeo 679/2016 offre particolari facilitazioni alle piccole e medie industrie; a riprova di questo fatto si fa riferimento al considerando numero 13 ed all’articolo 30. In particolare, entrambi i riferimenti affermano che l’obbligo di tenere un registro del trattamento non si applica ad aziende piccole e medie, vale a dire con meno di 250 persone, salvo alcune eccezioni.
Appare evidente che una formulazione del genere richiede un approfondimento circa le eccezioni che toglierebbero la facilitazione, che si dichiara esistente.
I casi in cui non si applica alla deroga alla tenuta del registro del trattamento sono tre:
- trattamento che potrebbe portare a rischi per i diritti e la libertà degli interessati,
- trattamenti di carattere non occasionale,
- trattamenti afferenti a speciali categorie di dati personali, collegati a condanne penali e indagini connesse.
Pubblicità
Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679. |
Come considerazione generale, quasi tutti gli esperti di protezione dei dati sono concordi nel ritenere che la disponibilità di un registro del trattamento sia un prezioso strumento di gestione dei dati, quale che sia la dimensione dell’azienda.
Inoltre la impostazione e gestione di tale registro non è particolarmente complessa e quindi non si vede quanto sia significativa la semplificazione offerta.
Torniamo però ad esaminare i casi in cui la semplificazione non è applicabile.
Tanto per cominciare, basta che una sola delle tre alternative sia applicabile, perché l’obbligo di tenuta del registro del trattamento resti in vigore.
Ecco il motivo per cui anche aziende con meno di 250 dipendenti che trattano dati che rientrino in una sola delle tre categorie illustrate, sono obbligati a impostare e tener aggiornato un registro delle attività di trattamento.
Inoltre è bene tener presente che il significato dell’espressione “trattamenti di carattere non occasionale” può essere interpretata in vari modi, se ad esempio questi trattamenti, afferenti al personale, includono anche la archiviazione di dati relativi a condanne penali.
In un altro documento, l’articolo 29 Working party ha dichiarato che una attività di trattamento può essere considerata come occasionale, se non viene svolta con regolarità o se avviene in un quadro esterno alla normale attività di trattamento o attività lavorativa del titolare o del responsabile del trattamento.
Rimando al proposito i lettori alla lettura del documento WP262, che è illuminante in proposito.
Ecco perché l’articolo 29 Working party, con il suo documento illustrativo, non fa altro che condividere l’opinione degli esperti di protezione dei dati, sottolineando che nelle piccole e medie industrie l’impostazione e gestione di un registro del trattamento non rappresenta un impegno particolarmente gravoso; questo impegno deve essere confrontato con i rischi che potrebbero nascere, qualora il titolare della piccola e media industria si trovi a trattare dati che rientrano nelle altre due categorie.
In questo caso si ci si troverebbe davanti a una violazione del regolamento, che potrebbe portare all’applicazione di sanzioni.
Ecco perché l’articolo 29 Working party raccomanda caldamente alle autorità Garanti nazionali di aiutare le piccole e medie imprese ad impostare e gestire un registro del trattamento, mettendo ad esempio a disposizione un modello semplificato.
Speriamo che qualche autorità nazionale sia attivi al più presto.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.