Il Garante per la protezione dei dati personali ha pubblicato, con particolare attenzione al contesto delle PMI, una guida informativa relativamente al cosiddetto Registro delle attività di trattamento, che rappresenta una delle prescrizioni del nuovo GDPR, ovvero il Regolamento europeo sulla privacy n. 679/2016.
Registro attività di trattamento
Tale Registro, secondo l’articolo 30 del Regolamento, deve essere predisposto dal titolare e del responsabile del trattamento in forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Il Garante, con la guida informativa, intende aiutare soprattutto le PMI nella compliance al GDPR fornendo due schemi pronti alla compilazione, rispettivamente per le figure di titolare e responsabile.
=> Scarica gli schemi semplificati del Registro
Si rammenta, come anche specificato nelle FAQ del Garante, che il numero minimo di dipendenti che determina tale obbligo è 250, al di sotto del quale il Registro deve essere compilato solo nel caso in cui l’azienda effettua trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettua trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
Più nel dettaglio, in ambito privato, i soggetti obbligati sono così individuabili nelle FAQ del Garante:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Esempi del Garante
Alla luce di quanto detto sopra, ricordano sempre le FAQ del Garante, sono tenuti all’obbligo di redazione del registro, ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).