WP29 sulla deroga all’obbligo di tenuta di un registro delle attività di trattamento dati personali

 

Background/Scenario

Il 19 Aprile 2018, il Gruppo di Lavoro Articolo 29 (d’ora in avanti, “WP29”) ha pubblicato un documento in cui prende posizione sulla deroga all’obbligo di tenuta del un registro delle attività di trattamento dati personali previsto dal comma 5 dell’articolo 30 del Regolamento UE 2016/679 (“GDPR”).

 

Questioni principali

Ai sensi dell’articolo 30 GDPR, i titolari e i responsabili del trattamento e, ove applicabile, i loro rappresentanti, sono obbligati alla tenuta di un apposito registro delle attività di trattamento svolte sotto la loro responsabilità o per conto di un titolare.

Tuttavia, al comma 5 dell’art. 30 GDPR il legislatore europeo esime da tale obbligo le imprese o organizzazioni con meno di 250 dipendenti, salvo che:

  • il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato;
  • il trattamento includa il trattamento di categorie particolari di dati o di dati personali di cui all’art. 9 par. 1 GDPR o dati relativi a condanne penali e reati di cui all’art. 10 GDPR;
  • il trattamento non sia occasionale.

 

Il WP29 sottolinea che l’esenzione di cui al comma 5 dell’art. 30 GDPR non costituisce un’esenzione assoluta, in quanto il verificarsi di una sola delle ipotesi sopra elencate fa scattare l’obbligo di tenuta di un registro, in tal caso però limitato alle attività di trattamento determinate in tale articolo.

Le attività di trattamento che infatti non rientrano nei casi di cui il comma 5 dell’art. 30 GDPR, non sono oggetto di un alcun obbligo di tenuta di registro da parte delle imprese con meno di 250 dipendenti.

In seguito, il WP29 evidenzia la grande utilità di un registro, in quanto potrà fungere da importante mezzo di supporto alle analisi delle implicazioni di qualunque tipo di trattamento di dati personali, facilitando la valutazione del rischio delle attività di trattamento e l’identificazione e l’implementazione di misure di sicurezza appropriate.

A tal fine, il WP29 sollecita le Autorità di controllo dei singoli Stati membri a sostenere piccole e medie imprese, offrendo strumenti che facilitino la creazione e la gestione dei registri delle attività di trattamento.

 

 

Azioni/Implicazioni pratiche

Al fine di allinearsi alle indicazioni del WP29, imprese e organizzazioni con meno di 250 dipendenti dovranno:

  • verificare se le attività di trattamento includano trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, oppure non siano occasionali, oppure includano il trattamento di categorie particolari di dati o di dati relativi a condanne penali e reati;
  • nel caso in cui almeno una delle condizioni sopra elencate si verifichi, istituire e tenere registri delle attività di trattamento relative al tipo di trattamento in questione.