Ultimi Articoli Pubblicati

Blog

GDPR: Modello di registro delle attività di trattamento semplificato per le PMI



Il Garante per la privacy pubblica il “registro semplificato” delle attività di trattamento del titolare e del responsabile per PMI e fornisce chiarimenti sulle informazioni che deve contenere



Modello di Registro delle attività di trattamento semplificato per le PMI e regole meno stringenti per imprese, professionisti e attività con un solo dipendente, recentemente pubblicato sul sito del Garante per la protezione dei dati, il quale ha fornito ulteriori chiarimenti in merito alla tenuta di tale registro.

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento, un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.



ELENCO PMI



In merito alle piccole realtà aziendali e, alla luce di quanto previsto dall’articolo 30, il Garante fornisce alcuni esempi di piccole e medie imprese e piccoli professionisti tenuti all’obbligo di redazione del registro, ad esempio:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente ;
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati ;
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati
  • associazioni sportive con riferimento ai dati sanitari trattatipartiti e movimenti politici;
  • il condominio ove tratti “categorie particolari di dati”


Tuttavia, nonostante l’obbligo di tenuta del registro esteso alle PMI, le imprese e organizzazioni con meno di 250 dipendenti, potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).



2