Un modello semplificato per le PMI e regole meno stringenti per imprese e attività con un solo dipendente: il Garante Privacy ha pubblicato le istruzioni sul Registro delle attività di trattamento, previsto dal GDPR, con una serie di strumenti dedicati alle piccole e medie imprese.
Si tratta dell’adempimento previsto dall’articolo 30 del Regolamento europeo, in base al quale il titolare del trattamento e il suo rappresentante sono obbligati a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, in cui bisogna indicare una serie precisa di informazioni (finalità del trattamento, categorie di dati personali, persone a cui vengono comunicati, regola per la cancellazione, misure di sicurezza e via dicendo).
L’obbligo di redigere questo Registro, specifica il Garante, rappresenta:
uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.
Il registro delle attività di trattamento privacy deve essere tenuto in forma scritta, eventualmente anche elettronica, e deve essere esibito su richiesta al Garante.
In base al GDPR, l’obbligo riguarda tutte le imprese sopra i 250 dipendenti e le PMI che sotto soglia nel caso in cui trattino dati sensibili, ossia:
- trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- trattamenti di dati non occasionali;
- dati sensibili elencati nell’articolo 9 del GDPR (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale). Dati relativi a condanne penali o reati (articolo 10 GDPR).
Quindi, chiarisce ulteriormente il Garante nelle FAQ, sono tenuti a predisporre il registro le seguenti categorie di piccole imprese:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione);
- esercizi commerciali, esercizi pubblici o artigiani che trattano dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori);
- liberi professionisti con almeno un dipendente;
- liberi professionisti che trattano dati sanitari oppure relativi a condanne penali o reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ch trattano categorie particolari di dati e/o dati relativi a condanne penali o reati (organizzazioni di tendenza, associazioni a tutela di soggetti vulnerabili quali ad esempio malati, persone con disabilità, ex detenuti, associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso, associazioni sportive con riferimento ai dati sanitari trattati, partiti e movimenti politici, sindacati, associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati”, come delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Attenzione: le PMI possono compilare questo registro in forma semplificata, limitandosi a indicare le attività sopra specificate. Ad esempio, un’impresa con un solo dipendente può predisporre il Registro Privacy esclusivamente con riferimento a tale limitata tipologia di trattamento. Sul sito del Garante sono pubblicati i modelli semplificati per il titolare e per il responsabile del trattamento delle PMI.
Il Registro Privacy deve essere costantemente aggiornato. Deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e quella dell’ultimo aggiornamento.
Il Garante consiglia di tenere il Registro Privacy anche ai soggetti non obbligati, perché contribuisce ad attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, agevolando l’attività del Garante.