FTCC | Studio Legale Associato

FTCC

News

immagine articolo Santi ottobre 2018

1) Faq sui registri delle attività di trattamento e modelli semplificati di registri per le PMI
L’8 ottobre u.s. il Garante privacy ha pubblicato sul suo sito internet le FAQ sui registri delle attività di trattamento ai sensi dell’art. 30 GDPR.

Nelle FAQ in questione il Garante ha rammentato che i registri vanno tenuti nel caso in cui il titolare o il responsabile abbiano almeno 250 dipendenti e, al di sotto di questa soglia minima, quando effettuino: a) trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati; b) trattamenti non occasionali; oppure c) trattamenti di dati particolari e/o giudiziari.

Al di sotto della soglia numerica summenzionata, secondo le indicazioni del Garante sono obbligati a tenere un registro:

·         gli esercizi commerciali, esercizi pubblici o artigiani con almeno 1 dipendente e/o che trattano dati sanitari dei clienti;

·         i liberi professionisti con almeno 1 dipendente e/o che trattino dati sanitari e/o relativi a condanne penali o reati;

·         le associazioni, fondazioni e comitati che trattino dati particolari e/o giudiziari;

·         il condominio che tratti dati particolari.

Più in generale, il Garante raccomanda a tutti i titolari e responsabili l’adozione dei registri in quanto strumenti di accountability e che favoriscono le attività di controllo da parte dello stesso Garante.

Per quanto riguarda le informazioni da indicare nel registro del titolare, il Garante segnala che nel campo “finalità del trattamento” bisognerebbe riportare oltre alla tipologia di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro) anche la base giuridica dello stesso ai sensi dell’art. 6 GDPR, ossia consenso, contratto, obbligo legale, salvaguardia degli interessi vitali dell’interessato o di terzi, interesse pubblico o legittimo interesse. Riguardo a quest’ultimo aspetto ed in conformità con quanto disposto nel provvedimento n. 121 del 22.2.2018 (doc. web 8080493), il Garante ha chiarito che nel registro andrebbe descritto il legittimo interesse concretamente perseguito, le garanzie adeguate eventualmente approntate e la valutazione d’impatto preventiva, se effettuata.

Con riferimento invece al registro del responsabile (e sub-responsabile, ove esistente), il Garante ha chiarito che in caso di ingente numero di titolari per cui operi il responsabile, l’aggiornamento dei nominativi e delle categorie di trattamento svolti può essere resa con un rinvio a schede o banche dati anagrafiche dei clienti contenenti la descrizione dei servizi forniti agli stessi. Si può inoltre rinviare ai contratti di nomina a responsabile/sub-responsabile per individuare la natura, la durata e la finalità del trattamento, il tipo di dati personali e le categorie di interessati.

In attuazione dei poteri conferiti dal neo-introdotto art. 154-bis, comma 4, Codice Privacy, il Garante ha redatto e pubblicato i modelli semplificati di registri del titolare e del responsabile utilizzabili dalle piccole e medie imprese e scaricabili al link indicato sopra.

2) Parere del Comitato Europeo per la Protezione dei Dati sulla lista dei trattamenti da sottoporre a DPIA obbligatoria redatta dal Garante privacy
Il 25 settembre u.s. il Comitato Europeo per la Protezione dei Dati – organo collegiale di cui all’art. 68 GDPR, che è succeduto al Working Party art. 29 – ha adottato il parere n. 12/2018 sulla lista delle tipologie di trattamenti soggetti a valutazione di impatto obbligatoria redatta dal nostro Garante ai sensi dell’art. 35, paragrafo 4, GDPR .

In estrema sintesi, il Comitato ha indicato le seguenti modifiche alla lista predisposta dal Garante:

a.       indicare che trattasi di lista non esaustiva che si basa sulle linee guida del Working Party art. 29 sulla valutazione di impatto (cfr. WP248 revisionate da ultimo il 4.10.2017);

b.      con riferimento ai trattamenti di dati biometrici, di dati genetici o che prevedono l’uso di nuove tecnologie, indicare che la DPIA deve essere condotta se ricorre nel caso concreto almeno anche un altro dei 9 criteri riportati nelle linee guida sopra menzionate. Tali criteri da soli considerati non comportano di per sé l’effettuazione di una DPIA obbligatoria;

c.       eliminare dalla lista il trattamento ulteriore di un dato personale, poiché questo non è un criterio che di per sé può condurre a una DPIA obbligatoria;

d.      riguardo al monitoraggio dei dipendenti, esplicitare il riferimento ai due criteri riportati nelle linee guida sopra citate, ossia trattamento di dati di soggetti vulnerabili e monitoraggio sistematico di questi ultimi;

e.      eliminare dalla lista il trattamento fondato su una specifica base legale, in quanto non è un criterio che di per sé può portare a una DPIA obbligatoria.

Secondo la procedura di cui all’art. 64 GDPR, il Garante ha ora la possibilità di conformarsi al parere espresso dal Comitato aggiustando il tiro o discostarsi da tale parere non apportando alcuna modifica alla lista e motivando la decisione così adottata.

Sarà nostra cura tenervi aggiornati sui futuri sviluppi della vicenda.

Avv. Santina Parrello


categoria:NewsPrivacy e diritti della personalità