Art. 30 GDPR - Registri delle attività di trattamento. Vediamo quando scatta l'obbligo anche sotto i 250 dipendenti.
L’articolo 30 del GDPR – Regolamento generale sulla protezione dei dati (UE/2016/679) istituisce e disciplina i Registri delle attività di trattamento. Tali registri, che devono essere redatti e tenuti dal titolare del trattamento dei dati o da un suo rappresentante, devono contenere le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Ma non solo, infatti il punto 2 di questo articolo stabilisce ancora che: “ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente”:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Il GDPR, sempre in questo artocolo stabilisce che “I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico” e che “Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo”.
Se questi primi quattro punti sono estremamente chiari e dettagliati, dotando il titolare del trattamento dei dati di una precisa traccia da seguire, è l’ultimo, il quinto punto di questo articolo, quello che lascia più perplessità sull’attuazione. Infatti “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Se per le aziende con più di 250 dipendenti non si pone alcun problema, risultando obbligatoria l’attuazione dell’articolo 30 del GDPR, non è infatti facile stabilire con certezza quali siano ad esempio i diritti e le libertà che potrebbero essere violate dall’uso di alcuni dati personali piuttosto che altri. Su questo la futura giurisprudenza che si andrà a formare sull’argomento privacy sarà di sicuro aiuto. Sul trattamento non occasionale ci si può spingere a stabilire che laddove i dati vengano utilizzati più di una volta durante un anno o anche solo una volta ma ripetutamente negli anni si concretizzi la necessità di redarre e conservare il registro delle attività di trattamento anche per aziende sotto i 250 dipendenti e perciò anche per professionisti e autonomi. L’ultima parte del comma non lascia invece spazio a interpretazioni riportando chiaramente ad altri articoli e fattispecie contestualizzate e precise.
In conclusione ci si può azzardare ad affermare che saranno moltissime le realtà sotto i 250 dipendenti che dovranno comunque rispettare la disciplina dell’articolo 30, rimanendo naturalmente in attesa di chiarimenti e direttive più specifiche da parte degli organi competenti.