8 ottobre 2018.
E’ tempo di chiarimenti interpretativi sull’applicazione del “Codice sulla Privacy” rivisitato nella sua interezza dal D.lgs. 101 (c.d. Decreto attuativo).
A neanche 20 giorni dall’entrata in vigore delle modifiche apportate alla 196/03, nostro riferimento normativo per la materia privacy, ecco che spunta una notizia imponente pronta a rimbombare presso tutte le aziende del nostro territorio. Infatti l’Autorita del Garante per la Protezione dei dati Personali ha pubblicato proprio oggi, 8 ottobre 2018, una news fresca contenente le risposte ufficiali a tutti i quesiti e le incertezze che potevano sorgere sul famoso Registro dei Trattamenti.
Il chiarimento non lascia spazio alle interpretazioni e nella seconda FAQ e cioè “Chi è tenuto a redigerlo?” amplia in maniera inequivocabile il raggio di azione dell’adempimento, inglobando, nell’obbligatorietà di produrre e mantenere questo documento, la maggior parte del tessuto aziendale del territorio nazionale. Praticamente la totalità delle attività che svolgono trattamento di dati dovrà adoperarsi per redigere il Registro in questione.
E’ necessario quindi muoversi fin da subito per sfruttare l’ultimo periodo finestra sanzionatorio concesso dal Garante, e adeguare le proprie aziende a ciò che viene richiesto; se pur semplici che siano, gli adempimenti vanno applicati per evitare le sanzioni.
GDPRAOSTA.it vi ricorda che attiveremo a breve i nostri servizi di consulenza online, strumenti volti a semplificare il vostro carico burocratico e ad evitare inutili sanzioni.
Qui un estratto del testo delle FAQ del Garante:
[…] “Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:
– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).” […]