Ilpunto della situazione Sonoormai trascorsi diversi mesi dall’entrata in vigore del Nuovo Regolamentoeuropeo sul Trattamento dei Dati personali, meglio conosciuto come GDPR679/2016. Inquesto arco temporale l’argomento si è confermato di forte interesse e pertantodesideriamo fare il punto della situazione, focalizzandoci sugli aspettifondamentali del GDPR che possono interessare le Aziende Associate. L’art.30 del Regolamento prevede tra gli adempimenti principali a carico del Titolaredel trattamento dei dati (l’Imprenditore), il registro delle attività di trattamento.Oggi, abbiamo però qualche informazione più esaustiva per comprendere qualisiano i soggetti obbligati alla tenuta di tale Registro: · imprese o organizzazioni con almeno 250dipendenti; · qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuitrattamenti che possano presentare un rischio – anche non elevato – per idiritti e le libertà dell’interessato; · qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuitrattamenti non occasionali; · qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuitrattamenti delle categorie particolari di dati di cui all’articolo 9,paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati dicui all’articolo 10 RGPD. Alla luce di quanto detto sopra,portiamo alcuni esempi: -esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente(bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o chetrattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici,odontotecnici, tatuatori ecc.); -liberi professionisti con almeno un dipendente e/o che trattino dati sanitarie/o dati relativi a condanne penali o reati (es. commercialisti, notai,avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); -associazioni, fondazioni e comitati ove trattino “categorie particolari didati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni ditendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempiomalati, persone con disabilità, ex detenuti ecc.; associazioni che perseguonofinalità di prevenzione e contrasto delle discriminazioni di genere, razziali,basate sull’orientamento sessuale, politico o religioso ecc.; associazionisportive con riferimento ai dati sanitari trattati; partiti e movimentipolitici; sindacati; associazioni e movimenti a carattere religioso); - ilcondominio ove tratti “categorie particolari di dati” (es. delibere perinterventi volti al superamento e all’abbattimento delle barrierearchitettoniche ai sensi della L. n. 13/1989; richieste di risarcimento dannicomprensive di spese mediche relativi a sinistri avvenuti all’interno deilocali condominiali). Inoltre, al di fuori dei casi ditenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD,il Garante ne raccomanda la redazione a tutti ititolari e responsabili del trattamento, in quanto strumento che,fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglioattuare, con modalità semplici e accessibili a tutti, il principio diaccountability e, al contempo, ad agevolare in maniera dialogante ecollaborativa l’attività di controllo del Garante stesso. Possiamoquindi facilmente osservare come l’attenzione nei confronti di una correttapredisposizione del Registro del Trattamento sia non solo restata alta, maaddirittura sia cresciuta nel corso di questi primi mesi di entrata in vigoredella nuova normativa privacy. Il Garante prosegue affermando che obbligo diogni Titolare del trattamento (l’Imprenditore)è: ” …il costante aggiornamento del Registro stesso”, e prosegue ancora:“…qualsiasi cambiamento deve essere immediatamente inserito”. Invirtù di questi ultimi, importanti, aggiornamenti circa la tenuta obbligatoriadel Registro dei trattamento dei dati personali, Confartigianato Cremona esortale proprie aziende associate al rinnovo della procedura Argo Software Privacyanche per l’anno 2019, al fine di mantenere l’impresa in conformità al GDPR edi scongiurare l’erogazione delle sanzioni disciplinate dagli artt, 83 e 84 delRegolamento (per leviolazioni più lievi, fino a 10 milioni di euro, o per le imprese, il 2% delfatturato annuo mondiale di gruppo dell’esercizio precedente; per le violazionipiù gravi, fino a 20 milioni di euro, o per le imprese, il 4% del fatturatoannuo mondiale di gruppo dell’esercizio precedente).
