PRIVACY (GDPR): CHI si deve adeguare
La rubrica dell’avvocato
a cura dell’ Avv. Claudio Calvello
(Patrocinante in Cassazione – DPO e membro di Federprivacy)
Lo scorso 8 ottobre il Garante per la protezione dei dati personali ha pubblicato le risposte alle domande più frequenti rivolte all’Ufficio del Garante prima fra tutte quella su CHI DEVE TENERE il REGISTRO delle attività di trattamento. Il Garante coglie l’occasione per precisare che si tratta di un documento che ha forma scritta (anche in “formato elettronico”) che deve essere istituito e tenuto aggiornato sia dal titolare del trattamento che da parte del responsabile del trattamento. Attraverso lo strumento del registro del trattamento, evidenzia il Garante, si esprime il principio di accountability ossia il principio di responsabilizzazione in base al quale occorre essere in grado di comprovare di aver rispettato puntualmente i principi applicabili al trattamento dei dati personali. Il Registro va tenuto costantemente aggiornato (nel senso che bisogna tenere traccia delle modifiche che nel corso del tempo dovessero intervenire. Ma veniamo al punto: il Garante ha chiarito che è obbligato alla tenuta del registro dei trattamenti (oltre alle imprese con più di 250 dipendenti): a) qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; b) qualunque titolare o responsabile che effettui trattamenti non occasionali; qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati o di dati personali relativi a condanne penali e reati. E’ chiaro che le ipotesi che restano “scoperte” dall’obbligo di tenuta del registro dei trattamenti siano veramente limitate e, comunque, anche in quei casi (ossia nelle ipotesi in cui la tenuta del registro dei trattamenti non sia obbligatoria) il Garante suggerisce caldamente di istituirlo e tenerlo aggiornato in quanto il registro dei trattamenti “contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”. Val la pena ricordare che i controlli vengono effettuati dalla Guardia di Finanza. Interessanti sono, inoltre, le esemplificazioni fatte dal Garante circa i soggetti obbligati alla tenuta del registro dei trattamenti tra i quali si indicano: 1) esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente/collaboratore (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); 2) liberi professionisti con almeno un dipendente/collaboratore e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); 3) associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); 3) il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali). Attesa la delicatezza della materia, nonché la pesantezza della sanzioni previste, consiglio vivamente di mettersi in contatto col proprio consulente di fiducia in mancanza del quale il mio Studio è disponibile a fornire chiarimenti e, se del caso, supporto operativo per l’adeguamento.