Pillole di Privacy #6 – 10/10/2018

Con il comunicato stampa dell’8 ottobre 2018 il Garante ha pubblicato il modulo di registro dei trattamenti per imprese e professionisti sotto i 250 dipendenti e sebbene il GDPR tratti il registro come adempimento obbligatorio soltanto per alcune categorie di imprese e professionisti, è l’Autorità Garante della Privacy a consigliare a tutti di redigerlo e aggiornarlo, in quanto rappresenta uno degli strumenti più importanti per fornire un quadro aggiornato dei trattamenti effettuati e per ogni attività di valutazione del rischio.

Il registro delle attività di trattamento è uno degli adempimenti obbligatori per titolari e responsabili appartenenti alle seguenti categorie:

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

L’obbligo quindi si estende anche alle piccole imprese che hanno anche un solo dipendente, bar, ristoranti, piccoli negozi o anche titolari di partita IVA che per via della loro attività trattano dati sanitari dei propri clienti.

Quindi, tornando all’esempio del titolo: il parrucchiere che effettua test su possibili allergie dei propri clienti, dovrà necessariamente redigere un Registro dei Trattamenti.