Chiarimenti del Garante sull'obbligo di redazione del Registro Privacy
Qualche giorno fa abbiamo analizzato l’articolo 30 del Regolamento Ue 2016/679 GDPR privacy evidenziando che l’obbligo di tenuta del registro privacy fosse non solo di esclusiva incombenza delle aziende con più di 250 dipendenti, ma che in molti casi l’imposizione riguardasse anche aziende e professionisti con pochi o addirittura nessun dipendente.
Il Garante della Privacy è intervenuto a riguardo rilasciando alcuni importanti chiarimenti dissipando molti dubbi ed elencando più nel dettaglio i soggetti interessati ad adempiere a questo obbligo. Vediamo nel dettaglio quanto chiarito.
Il registro sostituisce la notificazione al Garante (codice privacy, articolo 37, abrogato dal dlgs 101/2018) e deve essere compilato e tenuto da una amplissima platea di soggetti obbligati. Questo sarà il primo documento richiesto in sede di ispezione.
Basta un trattamento di dati particolari (ex sensibili) o un trattamento non occasionale o un trattamento rischioso per far scattare l’obbligo (anche sotto la soglia dei 250 dipendenti) di redazione e conservazione del Registro Privacy. Questa precisazione scioglie i dubbi che avevamo manifestato nel precedente articolo, definendo chiaramente l’alveo dell’applicazione dell’articolo 30 anche ai casi sotto i 250 dipendenti.
Ma non solo, il Garante cerca di fare maggiore chiarezza entrando nel dettaglio delle attività che saranno interessate a questo adempimento. Innanzitutto precisa che le associazioni, le fondazioni e i comitati sono obbligati alla redazione del Registro Privacy, anche se soggetti non a scopo di lucro. Inoltre indica alcune tipologie di attività sicuramente interessate alla tenuta del Registro: esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) o che trattino dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori); liberi professionisti con almeno un dipendente o che trattino dati sanitari o dati relativi a condanne penali o reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); associazioni, fondazioni e comitati se trattano «categorie particolari di dati» o dati relativi a condanne penali o reati.
È addirittura obbligato il condominio che tratta categorie particolari di dati come ad esempio, delibere sull’abbattimento delle barriere architettoniche o richieste di risarcimento danni comprensive di spese mediche per sinistri avvenuti nei locali condominiali.
Chiude infine con un suggerimento che sa più di monito per evitare ogni sorta di problema sanzionatorio a riguardo dell’argomento Privacy: “Si consiglia la redazione del registro anche al di fuori dello stretto obbligo”.
Sembra quindi chiaro che d’ora in avanti nessuno potrà più essere indifferente alla normativa e dovrà adeguarsi non solo al più presto ma nei termini corretti della disciplina normativa.