La lettura del gruppo europeo «Articolo 29» ridurrebbe i casi di esclusione dall’obbligo mentre la posizione del Garante italiano sembra meno rigida
Ai fini dell’adeguamento al Regolamento privacy Ue 679/2016 (GDPR), l’art. 30 prescrive in capo al titolare del trattamento dei dati l’obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità.
Rispetto al Codice della privacy, si tratta di un nuovo adempimento, che tiene conto in generale delle operazioni di trattamento effettuate dal titolare, dovendo essere annotate le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali, le categorie di destinatari a cui i dati sono stati o saranno comunicati (compresi i destinatari di Paesi terzi od organizzazioni internazionali), la descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).
Nel registro vanno inseriti, fra l’altro, anche il nome e i dati di contatto del titolare del trattamento e, se presenti, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati. A tal proposito, per un esempio, si veda la check list allegata al documento di CNDCEC e FNC, che può costituire la base di partenza per la compilazione di tale registro.
L’obbligo di tenuta del registro è posto altresì a carico del responsabile del trattamento, con riguardo alle attività dallo stesso svolte. Pertanto, nel registro vanno annotati il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e del responsabile della protezione dei dati, oltre, fra l’altro, alle categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.
Il registro è tenuto in forma scritta (anche in formato elettronico) ed esibito, su richiesta, all’autorità di controllo.
La disciplina sopra descritta non si applica alle imprese (art. 4 n. 18) o alle organizzazioni con meno di 250 dipendenti (cfr. anche il considerando n. 13), salvo che il trattamento:
– possa presentare un rischio per i diritti e le libertà dell’interessato; come precisato nel considerando n. 75, i rischi per i diritti e le libertà delle persone fisiche possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, ad esempio nel caso in cui il trattamento possa comportare perdita di riservatezza dei dati personali protetti da segreto professionale;
– non sia occasionale;
– riguardi categorie particolari di dati (ad es. relativi alla salute) o di dati personali relativi a condanne penali e a reati (artt. 9 par. 1 e 10).
Sul punto, è intervenuto di recente il gruppo di lavoro ex “Articolo 29” – con un “position paper” attualmente disponibile in inglese – precisando che le citate tre ipotesi di trattamento, che rendono obbligatorio l’adempimento di tenuta del registro indipendentemente dal numero di dipendenti, sono alternative. Ciò vuol dire che basta la sussistenza anche di una sola di queste condizioni per renderlo obbligatorio. Ad esempio – precisano i Garanti europei – non è “occasionale” il trattamento da parte di una piccola organizzazione dei dati dei propri dipendenti, rispetto alla quale attività di trattamento va dunque tenuto il registro.
Alla luce di tale posizione, i casi effettivi di esclusione sembrano decisamente ridursi, potendo ricomprendere la disposizione anche realtà minori, come quella degli studi professionali che hanno dipendenti (ne basta uno) o che trattano particolari categorie di dati, come avviene per un commercialista nell’esercizio della sua attività professionale rispetto al trattamento dei dati relativi alla salute (art. 4 n. 15) o, più in generale, a quelle attività di trattamento rientranti – come viene espressamente indicato nel documento – nel “regular course of business or activity of the controller or processor”.
In merito, il Garante della privacy, nella sua Guida all’applicazione del regolamento europeo, sembra, invece, aver assunto una posizione meno rigida, richiamando per l’esclusione dalla tenuta del Registro gli “organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio”. Al contempo, trattandosi di “uno strumento fondamentale (…) anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico”, nelle raccomandazioni inserite nella guida, viene precisato che la tenuta del registro costituisce “parte integrante di un sistema di corretta gestione dei dati personali”. Si ritiene così opportuna la sua adozione, indipendentemente dal parametro dimensionale, in forza del più generale principio di responsabilizzazione (“accountability”); principio richiamato anche dai Garanti europei. Con specifico riguardo agli studi professionali, l’adozione del registro viene “consigliato” anche da CNDCEC e FNC, potendo rappresentare l’apparato documentale ai fini “probatori” del corretto adempimento degli obblighi.