dichiarazione dei redditi
Detrazioni spese scolastiche: gran parte delle famiglie italiane non ne usufruisce
21 Settembre 2018
FATTURA ELETTRONICA
ORGANIZZAZIONE DELLA FATTURA ELETTRONICA
14 Novembre 2018

SEMPLIFICAZIONI PER LE PMI IN MATERIA DI PRIVACY

PRIVACY GDPR

GDPR PRIVACY

Come previsto dal D.lgs. n. 101 del 10 agosto 2018 (il decreto finalizzato all’ adeguamento della normativa nazionale al Regolamento Europeo – GDPR –   relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali) il Garante è intervenuto pubblicando un vademecum sui principali adempimenti previsti in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese.

La prima semplificazione del Garante è stata quella di aver reso disponibile sul proprio sito istituzionale, un modello di “registro semplificato” (scaricabile dal seguente link https://www.garanteprivacy.it/home/faq/registro-delleattivita-di-trattamento), rendendo nota al contempo la messa a disposizione sul proprio sito internet delle istruzioni, sotto forma di FAQ, per il corretto utilizzo del Registro delle attività di trattamento.  

Ricordiamo che il Registro delle attività di trattamento, che deve essere predisposto dal titolare del trattamento e, se nominato, dal responsabile del trattamento, è un documento contenente le principali informazioni relative ai trattamenti dei dati personali effettuati da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

I primi chiarimenti del Garante riguardano i soggetti obbligati all’utilizzo di tale registro per le proprie attività. Tali soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Fornendo una risposta più concreta ai diversi dubbi sollevati in passato, viene inoltre fornito un elenco (esemplificativo e non esaustivo) dei soggetti obbligati, di seguito riportato:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di revenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Il Garante, in ogni caso, specifica che la redazione del registro delle attività di trattamento è comunque raccomandata a tutti i titolari e responsabili del trattamento, in quanto tale documento contribuisce a  rispettare al meglio il principio di accountability e, al tempo stesso, ad agevolare l’attività di controllo del Garante stesso.

Per  capire meglio le modalità di utilizzo e per predisporre in maniera ottimale tale strumento, oltre a fornire un fac simile da poter utilizzare nelle proprie attività, il Garante ne specifica in maniera dettagliata anche i contenuti essenziali: dalla finalità del trattamento, alle garanzie adeguate da adottare (come, ad esempio, la preventiva valutazione d’impatto) nonché la descrizione generale delle misure di sicurezza, alla descrizione delle categorie di interessati e delle categorie di dati personali trattati fino anche l’indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati e se previsto il trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale.

Fra i diversi dubbi sollevati vi era anche quello relativo alla verificabilità della data certa della costituzione dello stesso. Ebbene, nelle FAQ vi è finalmente una risposta anche a tal riguardo: viene specificato infatti che il Registro deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione, unitamente a quella dell’ultimo aggiornamento