Home>News>Approfondimenti, GDPR>Il registro dei trattamenti GDPR e la deroga fantasma per le PMI

Il registro dei trattamenti GDPR e la deroga fantasma per le PMI

dott. Marco Massimini – Amministratore e consulente di Privacy.it

Pubblicato in data 27-04-2018

Il 19 aprile 2018 il Gruppo dei Garanti europei (WP 29) ha emesso un Position Paper – consultabile qui in inglese – per supportare la corretta interpretazione delle deroghe di cui l’art. 30, par. 5 del GDPR relative all’obbligo di istituire e mantenere il registro dei trattamenti.

Siccome trattasi di un adempimento del tutto nuovo (anche se ha delle affinità con il censimento dei trattamenti del Documento Programmatico sulla Sicurezza un tempo previsto dal Codice Privacy), e considerato che il tema “registro dei trattamenti” preoccupa non poco le organizzazioni meno strutturate (faticosamente alle prese con l’adeguamento al GDPR), conviene fare un punto sull’argomento per comprendere se e quanto l’intervento del WP 29 sposta i termini finora noti della questione.

Procediamo con ordine. Come risaputo ai più, l’art. 30 del GDPR impone a ciascun Titolare la tenuta di un registro delle attività di trattamento che indichi quanto previsto dal par.1, ossia:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
    del trattamento, del rappresentante del titolare del trattamento e del responsabile
    della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi
    i destinatari di Paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie
    di dati,
  • laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Il par. 2 dell’art. 30 del GDPR stabilisce che anche i responsabili debbono tenere un registro simile in relazione alle attività svolte per conto di un titolare del trattamento. Il registro del responsabile dovrà contenere:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Il par.5 dello stesso art. 30, prevede che gli obblighi in questione “non si applichino alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 .”

Schematizzando, le PMI sono comunque tenute a redigere il registro qualora:

  • il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato (si veda il Considerando n.75 del GDPR per maggiori indicazioni sul concetto di rischio);
  • il trattamento non sia occasionale;
  • il trattamento includa categorie particolari di dati (in pratica, i dati qualificati come “sensibili” dal Codice Privacy) o i dati personali relativi a condanne penali e a reati.

Ad una prima lettura, il tenore del disposto dell’art. 30 par.5 è indubbiamente inteso a sollevare – in qualche modo – dall’obbligo le piccole e medie imprese (PMI). Un’intento in diretta correlazione con il proposito enunciato nel Considerando n.13 del GDPR laddove questo recita: “Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni.

Ora, a due anni dalla pubblicazione del testo finale del GDPR, il WP 29 interviene con un Position Paper chiarificatore in ragione dell’elevato numero di aziende che hanno manifestato dubbi sulla portata della deroga: “Some clarifications on the interpretation of this provision appear necessary, as shown by the high number of requests coming from companies and received in the last few months by national Supervisory Authorities ”.

Nel documento che dovrebbe far luce su questi aspetti, il WP 29 afferma che è sufficiente che ricorra una delle tre casistiche (trattamento a rischio, trattamento non occasionale, o trattamento di dati particolari/giudiziari) e l’obbligo di tenere un registro si attiva anche per chi abbia meno di 250 dipendenti: “The WP29 underlines that the wording of Article 30(5) is clear in providing that the three types of processing to which the derogation does not apply are alternative (“or”) and the occurrence of any one of them alone triggers the obligation to maintain the record of processing activities.”.

Il WP 29 sottolinea, dunque, la presenza della congiunzione disgiuntiva “o” nella formulazione di legge, la quale determina l’autonomia delle tre ipotesi. A dire la verità, il chiarimento non è così illuminante perché la disgiunzione è assente in un punto decisivo laddove si menziona il caso in cui “ (…), il trattamento non sia occasionale (..) ”.

In molti, nell’esaminare il testo del GDPR, avevano ritenuto che l’assenza della disgiuntiva determinasse in qualche modo una rilevante conseguenza applicativa, ossia che l’occasionalità di un trattamento (seppur rischioso o avente ad oggetto dati particolari/giudiziari) fosse condizione sufficiente per evitare che le PMI dovessero attivare un registro. Ma – chiarisce il WP 29 – così non è: basta trattare dati personali in modo stabile per essere tenuti alla registrazione dei trattamenti.

La domanda sorge spontanea: ma allora, chi non è tenuto ad istituire un registro? Quale tipologia di titolare, quale business non ricade in una delle tre condizioni alternative previste dal par. 5 dell’art. 30? La risposta, in effetti, non è agevole.

Tralasciando qui le ipotesi dei trattamenti a rischio (solo perché meno ricorrenti), non sfugge a nessuno che qualsiasi azienda tratta dati idonei a rivelare lo stato di salute dei dipendenti, vuoi per la gestione delle assenze (benché priva di dettagli diagnostici, un’aspettativa di tre mesi per motivi di salute non può dirsi un dato ordinario), vuoi per la conservazione di documentazione sanitaria, vuoi per l’assunzione di categorie protette, vuoi per evitare di assegnare mansioni incompatibili con determinate condizioni di salute, vuoi per gestire infortuni sul lavoro, e così via. Pertanto, chiunque abbia dei dipendenti deve tenere un registro dei trattamenti.

Ciò detto, anche se un’azienda riuscisse nell’impresa di avere dipendenti senza trattarne in alcun modo dati sensibili che li riguardano, il Position Paper del WP 29 polverizza le residue speranze di scampare all’obbligo perché – si spiega – per attivarlo è sufficiente trattare in maniera “non occasionale” altri dati personali della forza lavoro: “For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities.

Per rinvenire una tipologia di titolare esentato, verrebbe – allora – da rivolgere lo sguardo verso altre tipologie di titolari quali quei liberi professionisti, piccoli studi professionali o esercenti che magari non hanno dipendenti. Ma chi tra questi può affermare di trattare dati personali altrui soltanto in maniera “occasionale”? Poniamo anche il caso che qualcuno tra loro intrattenga rapporti soltanto con persone giuridiche (clienti e fornitori): siamo certi che costui non tratta stabilmente i dati dei referenti (ad es., gli indirizzi email degli interlocutori commerciali) delle società cui vende (o compra) beni o servizi? E se il suddetto titolare ha un sito web con un form “Contatti” o “Richiedi informazioni”, si può dire che non tratti in modo organico i dati degli utenti del sito?

Sembra proprio che l’obbligo scatti per tutti, a prescindere dalla natura del dato (sensibile o meno) o dal potenziale lesivo del trattamento (rischioso o innocuo).

Ad avviso di chi scrive, c’è qualcosa che non va nella formulazione delle deroghe par.5 dell’art. 30 anche alla luce dell’intervento “chiarificatore” del WP 29.

L’intento del Considerando n. 13 del GDPR pare di fatto tradito. Sia l’art. 30 che il Position Paper del WP 29 non sembrano aver tenuto in alcun modo “…conto della specifica situazione delle micro, piccole e medie imprese…”.  Allo stato attuale delle cose, sia una lettura piatta del par.5, sia l’interpretazione autentica fornita dal WP 29, suggeriscono alle PMI con meno di 250 dipendenti di istituire e mantenere il registro dei trattamenti se vogliono esser certe di non violare un obbligo di legge e rischiare di incorrere (magari per questo solo motivo) nelle temibili sanzioni del GDPR. Anche perché, in questo scenario interpretativo, le ipotesi concrete in cui si possa davvero godere dell’esonero dall’obbligo di tenuta del registro sono davvero remote. Per reperire un operatore economico che tratta dati personali solo in maniera occasionale bisogna – si permetta la provocazione – far volare la fantasia fino al titolare dell’Ape Car che ai giardini pubblici vende ghiaccioli ai bambini (sempre che non abbia il POS).

Proseguendo nel ragionamento: se l’interpretazione del WP 29 è corretta (e – noblesse oblige – come negarlo?), pare di poter dire che la formulazione del par. 5 dell’art.30 è inutilmente contorta. Sarebbe stato più semplice prescrivere che il trattamento occasionale di dati personali non comporta l’obbligo di registrazione, salvo il trattamento occasionale costituisca un rischio o abbia ad oggetto dati particolari o relativi a condanne penali e a reati. Così facendo, se proprio non si voleva dare piena attuazione al portato del Considerando n.13, si sarebbe peraltro slegata la deroga dalla categoria ontologica delle PMI per ancorarla al solo concetto di occasionalità (sarebbe stato quantomeno un contributo in termini di chiarezza).

Infine, non può non percepirsi lo stridore della posizione assunta dal WP 29 rispetto alla “traccia interpretativa” lasciata dal Garante italiano che nella Guida all’applicazione del GDPR pubblicata tempo addietro indicava (e indica ancor’oggi): “Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30.” Pare ovvio che, per esigenze di sintesi legate al formato semi-infografico della Guida, il Garante non abbia voluto o potuto rendere un’indicazione esaustiva e dettagliata in merito alle deroghe (altrimenti, perché non citare i dati particolari e giudiziari?). Ma pare altrettanto pacifico constatare che il tenore utilizzato in quel passaggio della Guida porterebbe qualsiasi lettore (e qualsiasi PMI) a concludere che la deroga sia di ampia portata: per poterne fruire, basta impiegare meno di 250 dipendenti e non effettuare trattamenti a rischio (o di dati sensibili/giudiziari, volendo accordare un crisma di genericità ai termini utilizzati nella Guida).

E’ comprensibile, tutto ciò considerato, che molte aziende e diversi operatori possano sentirsi disorientati. A quale interpretazione bisogna affidarsi? A quella dell’Authority italiana o a quella del Gruppo dei Garanti europei? A rigor di logica, prevale quella del WP 29 perché:

  • è successiva a quella resa dal Garante italiano nella Guida;
  • il Garante è membro del WP 29 e, dunque, deve aver in qualche modo condiviso l’interpretazione rilasciata nel Position Paper;
  • quest’ultima interpretazione sembra più attinente alla formulazione (giusta o sbagliata che sia) del par. 5 dell’art. 30 del GDPR.

Ciò detto, e nell’auspicio che intervengano ulteriori chiarimenti autoritativi a dipanare tutti i dubbi, resta il fatto che istituire e mantenere un registro del trattamento è opera comunque utile anche laddove l’obbligo non sussista. La tenuta “a prescindere” del registro è suggerita sia dal Garante italiano nella Guida applicativa che dal WP 29 nel Position Paper, specie come strumento di accountability. Ma non si può ignorare che tenere un simile registro è un impegno e, talora, un costo; e sarebbe corretto consentire alle PMI, quantomeno alle migliaia di piccole organizzazioni (già alle prese con mille adempimenti) che effettuano solo trattamenti tipicizzati e a basso rischio, di avere certezza su quale sia il perimetro imperativo della norma.

Torniamo, per concludere, al Position Paper del WP 29 (che ha originato i ragionamenti espressi nel presente articolo) per evidenziare due passaggi interessanti:

  • il documento chiarisce che è sufficiente registrare i soli trattamenti che hanno attivato l’obbligo di tenuta del registro: “However, such organisations need only maintain records of processing activities for the types of processing mentioned by Article 30(5).” Pertanto, tutti gli altri trattamenti non devo essere registrati. Ma – alla luce della lettura che abbiamo dato all’interpretazione resa nel Position Paper – quali sono tutti gli altri? Solo i trattamenti occasionali (purché non rischiosi e non riguardanti dati sensibili/giudiziari). Una magra consolazione.
  • Infine, le Autorità nazionali sono invitate a proporre sui propri siti istituzionali un modello di registro semplificato per le piccole/medie imprese. C’è da sperarlo perché una guida alla compilazione potrebbe essere l’occasione giusta per fornire chiarimenti definitivi ad aziende e professionisti anche in merito agli obblighi di adozione.
2018-04-28T11:01:11+00:00 27 aprile 2018|Approfondimenti, GDPR|