Abbiamo visto in un precedente articolo, il primo per la serie ‘GDPR per la startup’, come tra i 5 punti cardine del GDPR, cioè il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali che sarà pienamente applicabile dal maggio del 2018 e a cui tutte le aziende che trattano dati, startup comprese devono adeguarsi, ci sia l’obbligo della tenuta del Registro dei Trattamenti .
Indice degli argomenti
Cos’è il Registro dei Trattamenti
Il Registro dei Trattamenti è un documento in cui il Titolare deve tenere traccia documentale delle operazioni di trattamento effettuate indicando una serie di informazioni di dettaglio, quali le finalità del trattamento, le categorie di interessati e dei dati personali, la base giuridica su cui si fonda, il periodo di conservazione dei dati, gli eventuali trasferimenti verso Paesi terzi e le misure di sicurezza applicate.
Il Registro dei Trattamenti, nelle intenzioni del legislatore, rappresenta uno strumento gestionale per consentire un governo più efficace della data protection all’interno dell’organizzazione. Solo conoscendo nel dettaglio i trattamenti effettuati è infatti possibile verificare che gli obblighi normativi siano costantemente rispettati.
Ma la tenuta del registro è obbligatoria per tutte le organizzazioni? No, l’art. 30, comma 5, del GDPR esonera dall’obbligo di tenuta del Registro dei trattamenti le imprese con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati (es. dati biometrici, dati sanitari, ecc,) o i dati personali relativi a condanne penali.
La norma, così come richiamata, potrebbe condurre erroneamente alla considerazione secondo cui le startup, caratterizzate generalmente da dimensioni aziendali inferiori a 250 dipendenti, non siano soggette all’obbligo della tenuta del registro. Da una lettura approfondita dell’articolo, invece, emerge che l’elemento determinante l’applicabilità del principio di esenzione dall’obbligatorietà del registro, per le imprese con meno di 250 dipendenti, è se il trattamento che queste effettuano non presenti dei rischi per i diritti e le libertà dell’interessato.
La rischiosità del trattamento
Il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.
Esempi, a titolo esemplificativo e non esaustivo, possono essere:
1) Raccolta di dati pubblici tratti dai social media per la creazione di profili (profilazione)
2) Utilizzo sistematico di sistemi di geolocalizzazione
3) Utilizzo di sistemi di monitoraggio sul comportamento degli utenti nella rete
Solo dopo aver valutato la “rischiosità” del trattamento, si dovrà comprendere se quest’ultimo non sia occasionale o includa categorie particolari di dati o relativi a condanne penali e a reati.
A confermare tale interpretazione è proprio il Garante per la Protezione dei dati personali che, nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, precisa, in relazione alla tenuta del registro dei trattamenti, che: “tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30” (si veda questo link).
In sintesi, ciò che determina l’obbligatorietà della tenuta o meno del registro è la rischiosità dei trattamenti, a prescindere dalla dimensione dell’impresa. Viceversa, invece, laddove il Titolare del Trattamento non effettui trattamenti a rischio e la dimensione dell’organizzazione risulti inferiore a 250 dipendenti, la tenuta del registro non sarà obbligatoria.
Sul punto, tuttavia, l’interpretazione dell’art. 30, comma 5, del GDPR non appare univoca in tutti gli Stati Membri. Ad esempio, il Garante per la Protezione dei dati personali Belga, con la raccomandazione n. 6/2017 emanata lo scorso 14 giugno, è giunto ad una diversa interpretazione della norma. In altre parole, ad avviso dell’Autorità, la rischiosità del trattamento è una delle quattro previsioni di obbligatorietà del Registro dei trattamenti, alternative l’una con l’altra, e non l’elemento cardine così come interpretato dal Garante Italiano. In base a questa interpretazione della norma, quindi, il registro sarebbe obbligatorio, per esempio, per il solo fatto di trattare categorie particolari di dati personali o per trattamenti non occasionali.
In relazione a quest’ultima condizione (non occasionalità), precisa che non sono trattamenti occasionali, l’elaborazione dei dati relativi alla gestione dei clienti, alla gestione del personale (HR) o di gestione fornitori. Tale interpretazione, a nostro avviso troppo restrittiva, potrebbe di fatto innalzare l’obbligo della tenuta del Registro, a livello operativo, per tutte le organizzazioni.
Il Registro come opportunità
Nonostante questo, al di là degli obblighi normativi, si ritiene che la tenuta del registro dei trattamenti possa comunque costituire uno strumento utile, in quanto permette di mappare in maniera ordinata i trattamenti effettuati all’interno della singola organizzazione e di dimostrare la conformità ai principi contenuti nel Regolamento. Ciò in quanto il Titolare del trattamento è tenuto ad assolvere al suindicato principio di accountability su di lui gravante, principio che rimane pienamente valido anche per le imprese di piccole dimensioni, come le startup. Ciò è in linea con quanto suggerito dal Garante italiano nelle già citata guida, dove “si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
Contributor: Andrea Reghelin – Associate Partner P4I, Marco Catalano – Senior Legal Consultant P4I
