|
Il Garante per la protezione dei dati personali ha pubblicato le FAQ esplicative dell’obbligo di tenuta del registro delle attività di trattamento dei dati personali, chiarendo che siffatto obbligo si applica anche alle imprese (fra cui i pubblici esercizi) che abbiano almeno un dipendente, e/o che trattino dati personali in modo non occasionale e/o che trattino particolari categorie di dati personali. Al fine di agevolare l’adempimento di tale obbligo, si allega un fac-simile di registro da poter diffondere alle imprese associate. |
In data 8.10.2018 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito web le FAQ con le quali ha inteso chiarire alcuni dubbi sorti in merito all’obbligo di tenuta del registro delle attività di trattamento dei dati personali disposto dall’art. 30 del Regolamento (EU) n. 679/2016.
Siffatto obbligo è diretta espressione del c.d. principio di accountability – nucleo centrale della novella normativa europea – che attribuisce direttamente ai titolari del trattamento il compito di assicurare l’adozione di misure efficaci ed appropriate per la protezione dei dati personali, nonché di comprovare che tali misure siano state adottate (cfr. circolare Fipe n. 38/2018).
La disposizione in commento, in estrema sintesi, richiede che ogni soggetto titolare del trattamento di dati personali debba tenere un registro ove annotare le principali informazioni relative alle operazioni svolte. In particolare, occorre annotare:
- il nome e i dati di contatto del titolare del trattamento;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- le informazioni relative ad eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Tuttavia, non tutte le imprese sono obbligate a redigere il registro dei trattamenti. L’art. 30 del Regolamento (EU), infatti, dispone che l’obbligo della tenuta di questi registri non si applichi alle imprese o organizzazioni con meno di 250 dipendenti, a meno che: i) il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato; ii) il trattamento non sia occasionale; iii) o includa il trattamento di categorie particolari di dati, come quelli giudiziari o sullo stato di salute.
Allo scopo di chiarire gli incerti confini delle indicate cause di esclusione dall’obbligo di tenuta del registro, il Garante ha pubblicato le FAQ allegate, dalle quali emerge una interpretazione piuttosto estensiva dell’obbligo in commento.
Come è possibile evincere dalla lettura del punto n. 2 delle FAQ, sono tenuti all’obbligo di redazione del registro anche gli esercizi commerciali, gli esercizi pubblici o artigiani che abbiano almeno un dipendente.
In altri termini, dalla lettura del Regolamento e delle FAQ del Garante emerge che l’obbligo della tenuta del registro incorre in capo a tutti i pubblici esercizi:
- che abbiano almeno un dipendente
- e/o che trattino dati personali in modo non occasionale (il dato letterale, dunque, induce a ritenere che in tutte quelle ipotesi in cui il pubblico esercizio si rifornisca “non occasionalmente” dal suo fornitore di fiducia e si trovi a doverne trattare i dati per l’adempimento degli obblighi fiscali, sarà obbligato a compilare il registro con riferimento ai dati dei fornitori);
- e/o che trattino categorie particolari di dati di cui all’art. 9 paragr. 1 del Regolamento (EU) come ad es. quelli sulla salute, sulle convinzioni religiose o sull’origine etnica.
Il Garante ha, però, statuito che le imprese con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di alcune misure di semplificazione. Fra queste figura quella di circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento individuate nel sopra citato art. 30. Ne consegue che, ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti i lavoratori dipendenti, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento. Quindi, laddove nel corso dell’attività l’esercente si trovi a dover trattare esclusivamente i dati personali dei dipendenti (es. dati anagrafici e sanitari da comunicare agli enti previdenziali), dovrà curare la tenuta del registro dei trattamenti con esclusivo riferimento ai dati dei dipendenti.
Tutto ciò premesso, e considerata la complessità di una materia in pieno sviluppo normativo, la Federazione ha predisposto un fac-simile di registro (allegato 1) che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesto al Garante.
Invero, come risulta dalle FAQ, “al di fuori dei casi di tenuta obbligatoria del Registro, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamento svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo al Garante stesso”.
Si coglie l’occasione per trasmettere, altresì, il D.Lgs n. 101/2018 (allegato 2), volto ad adeguare la normativa nazionale in materia di privacy alle disposizioni del Reg. UE 2016/679 (c.d. GDPR), come noto, già applicabile negli Stati membri a partire dal 25 maggio 2018.
Come si ricorderà, infatti, il legislatore europeo è intervenuto dettando una nuova disciplina con l’obiettivo di uniformare, in tutti gli Stati Membri, il contesto normativo in materia di protezione dei dati personali delle persone fisiche, cercando, di renderlo maggiormente uniforme e aderente ai nuovi sviluppi tecnologici.
Di conseguenza, con il D.Lgs n. 101/2018, emanato in attuazione dell’art. 13 della legge di delegazione europea 25 ottobre 2017, n. 163, il Governo italiano ha provveduto alla modifica e/o all’abrogazione delle norme del Codice in materia di protezione dei dati personali (D.Lgs n. 196/2003) risultate incompatibili con il Regolamento europeo.
Il “vecchio” Codice privacy, pertanto, rimane in vigore, sebbene debba farsi ora riferimento al testo coordinato con le modifiche recate dalla recente novella legislativa.
Nel nuovo provvedimento, tra le disposizioni di maggior interesse per le imprese rappresentate figura l’art. 2 che, fra l’altro, precisa poteri e obblighi in capo al titolare del trattamento, compresa la possibilità di delegare, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, il compimento di funzioni connesse al trattamento di dati personali a persone fisiche operanti sotto la loro autorità.
Nell’ambito dei rapporti di lavoro, l’art. 9 del Decreto Legislativo prevede che il Garante promuova l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali; la stessa norma, inoltre, esclude la necessità di acquisire il consenso per il trattamento dei dati indicati nei curricula spontaneamente inviati ai fini dell’eventuale instaurazione di un rapporto di lavoro (nei limiti in cui il trattamento sia necessario per l’esecuzione delle misure precontrattuali o contrattuali).
L’art. 13 (che introduce l’art. 140-bis al D.Lgs n. 196/2003), prevede l’alternatività delle forme di tutela da esperire nelle ipotesi in cui l’interessato ritenga di aver subito delle violazioni dei propri dati personali. In particolare la disposizione prevede che si possa proporre reclamo al Garante o il ricorso dinanzi all’Autorità giudiziaria, e che il primo non possa esser proposto laddove sia stata già esperito il secondo.
L’art. 15 introduce novità in merito al trattamento sanzionatorio. In particolare, senza pretesa di esaustività, il Decreto Legislativo definisce i criteri di applicazione delle sanzioni amministrative pecuniarie e il procedimento per l’adozione dei provvedimenti correttivi e sanzionatori. La stessa norma, inoltre, introduce nuovi reati per i casi di comunicazione o diffusione illecita e di acquisizione fraudolenta di dati personali, qualora tali dati siano riferibili ad un numero rilevante di persone.
Per quel che concerne le disposizioni transitorie, allo scopo di garantire la continuità delle situazioni giuridiche, vengono provvisoriamente salvi i provvedimenti finora emanati dal Garante nonché le autorizzazioni, che saranno oggetto di un successivo riordino da parte del Garante stesso, nonché i codici di deontologia e di buona condotta vigenti.
Infine, è di grande interesse per le imprese rappresentate quanto previsto all’art. 14 del suindicato Decreto, ove si dispone che il Garante per la protezione dei dati personali debba prevedere modalità semplificate di adempimento degli obblighi del titolare del trattamento con riferimento alle micro, piccole e medie imprese, mediante l’adozione di linee guida di indirizzo. Ciò è quanto si è verificato con riferimento al registro dei trattamenti, per il quale, come già rilevato, sono state previste modalità semplificate di adempimento per quel che concerne le imprese con meno di 250 dipendenti.