Approfondimenti
Obbligatorietà
Tra le principali questioni oggetto delle FAQ, Il Garante privacy italiano ha fatto propria la posizione già espressa dal Gruppo di lavoro dei Garanti europei (“position paper” del WP 29 del 19 aprile 2018) circa l’obbligatorietà della tenuta, estesa, sostanzialmente, a tutte le imprese ed organizzazioni.
Infatti, le FAQ chiariscono che , oltre alle imprese ed organizzazioni con almeno 250 dipendenti, in forza di una interpretazione letterale del 5° paragrafo dell’articolo 30 del Regolamento, sono tenuti a predisporre e aggiornare il Registro:
- ogni titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
- gni titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- ogni titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti di dati “particolari” o “giudiziari”.
Il registro deve avere la data di prima istituzione e quella dell’ultimo aggiornamento.
Con riferimento alla nozione di “organizzazioni”, le FAQ chiariscono che essa ricomprende anche le associazioni, le fondazioni e i comitati.
Semplificazioni
Quanto alle imprese e alle organizzazioni
con meno di 250 dipendenti obbligate alla tenuta del Registro, le FAQ precisano che possono beneficiare di alcune
semplificazioni e, pertanto, se ritenuto opportuno, limitare la redazione del Registro alle sole specifiche attività di trattamento rischiose, non occasionali ovvero aventi ad oggetto dati “particolari” o “giudiziari” (ad esempio, se il trattamento dei dati sensibili si riferisce solo a quelli inerenti un solo lavoratore, il Registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
Modelli suggeriti dal Garante
In allegato alle FAQ, il Garante privacy ha pubblicato, (e quindi sono scaricabili dal sito del Garante),
2 modelli di Registro semplificato per le PMI , uno per i trattamenti del titolare ed uno per quelli del responsabile.
Si ricorda che nella
guida on line presente nel nostro sito è riportato un esempio di redazione del registro dei trattamenti del titolare.