Registro dei trattamenti: chi ne può fare a meno?

Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR.

Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti.

Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente:

  1. di sviluppare un’idonea analisi del rischio;
  2. di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati;
  3. di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità.

Il comma 5 dell’art. 30 del GDPR prevede l’esenzione dalla tenuta del Registro dei trattamenti per “le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’art. 10“.

Su tale disposizione il nostro Garante si era già da tempo soffermato per caldeggiare l’adozione del Registro dei trattamenti a prescindere dalle dimensioni aziendali,  precisando che “il registro dei trattamenti non costituisce un adempimento formale bensì è parte integrante di un sistema di corretta gestione dei dati personali”.

L’esenzione prevista dall’art. 30, comma 5, GDPR ha dato luogo a molte perplessità e dubbi interpretativi, anche in relazione al Considerando n. 13 del Regolamento, nel quale si afferma che per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente Regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente Regolamento“.

In considerazione delle diverse opinioni emerse sull’effettiva estensione dell’esenzione, il WP29 ha inteso fornire un’interpretazione univoca per tutti i Paesi Membri con il suo “position paper” del mese di aprile 2018 (che potete leggere in versione integrale cliccando qui) attraverso il quale ha chiarito che:

  1. l’esenzione prevista dall’art. 30, comma 5, GDPR non è assoluta;
  2. i trattamenti in relazione ai quali l’esenzione non si applica sono tre: a) i trattamenti che possono con probabilità costituire un rischio per i diritti e le libertà dell’interessato; b) i trattamenti non occasionali; c) i trattamenti che abbiano ad oggetto categorie particolari di dati o dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR;
  3. le tre tipologie di trattamento sopra descritte sono alternative e non cumulative: quindi, l’esenzione non si applica in tutti quei casi in cui sia presente anche solo uno dei suddetti trattamenti;
  4. in ogni caso, per le organizzazioni con meno di 250 dipendenti, l’obbligo del Registro dei trattamenti è limitato alle tre tipologie di trattamenti indicate al comma 5 dell’art. 30 GDPR.

Il WP29 ha, comunque, incoraggiato le Autorità Indipendenti dei singoli Paesi Membri a mettere a disposizione dei tools appositi per facilitare le piccole realtà imprenditoriali nella fase di adozione e di gestione nel tempo del Registro dei trattamenti.

Purtroppo, come per molti altri specifici profili applicativi (penso, ad esempio, alle certificazioni, ai codici di condotta, alle icone standard, etc.), le semplificazioni – molto attese – arriveranno solo dopo il 25 maggio 2018.

Nel frattempo, in base alle precisazioni del WP29, si comprende che i casi di totale esclusione dalla tenuta del Registro dei trattamenti possono considerarsi, di fatto, molto marginali: è, infatti, difficile pensare ad aziende con meno di 250 dipendenti che non svolgano almeno una delle tre tipologie di trattamento che escludono l’ipotesi di esenzione contemplata all’art. 30, comma 5, GDPR.

E’, d’altra parte , altrettanto vero che la fase di analisi del rischio, con la correlata mappatura dei dati, costituisce elemento fondamentale ed imprescindibile dell’accountability su cui si basa il GDPR: se, pertanto, si è correttamente eseguita questa fase di analisi, il Registro dei trattamenti si compila, di fatto, (quasi) da sé.

Se, comunque, non avete idea di come impostare il Registro dei trattamenti, vi consiglio di visitare il sito ufficiale dell’Autorità Indipendente britannica (ICO), che ha pubblicato un template in formato Excel scaricabile cliccando qui.

 

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!