Quando il registro è "d'obbligo"
non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell´organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un´accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell´art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell´ottica della complessiva valutazione d'impatto dei trattamenti svolti.
Certo è che ogni impresa o organizzazione con oltre 250 dipendenti debba tenere il registro.
Ad una prima lettura dell'art. 30.5 GPDR, la deroga per imprese o organizzazioni con meno di 250 dipendenti incontra delle eccezioni:
Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.Quali sono le eccezioni per cui la tenuta non è obbligatoria?
Per meglio comprendere il contenuto dell'art. 30.5 GDPR, occorre una lettura del position paper dell'Art.29WP, per cui al ricorrere di una sola delle alternative la tenuta del registro è obbligatoria nelle ipotesi in cui vi sia:
- un rischio per diritti e libertà degli interessati;
- non occasionalità;
- trattamento di categorie particolari di dati o dati relativi a condanne penali e reati;
Essere GDPReady è...sapere quando il registro "è d'obbligo".
Commenti
Posta un commento