Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9282 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 12.10.2018    Pdf    Appunta    Letti    Post successivo  

Il registro dei trattamenti e' sempre obbligatorio. Di fatto

Si conferma l'opportunita' sempre sostenuta di avere un registro dei trattamenti. Tutti.

Tuttavia pare che l'interpretazione maggioritaria ritenga il registro obbligatorio sempre, salvo casi marginalissimi.

Cerchiamo di capire le conseguenze di una tecnica legiferativa di indicare una regola cosi' importante come eccezione di una eccezione in un contesto di semplificazione.
Spataro

 

-

- La questione

Sto approfondendo, ancora una volta, l'esenzione di cui all'art.30.5.

Il tema è questo: il registro dei trattamenti e', di fatto, obbligatorio sempre per chi ha meno di 250 dipendenti ? 

Scanso equivoci confermo a tutti quello che ho sempre ripetuto a tutti: l'unico modo per dimostrare il rispetto del gdpr è tenere comunque il registro dei trattamenti.

Questo non significa che si debba avere anche un dpo. Ma il registro va tenuto sempre per potersi difendere.

- L'art. 30.5

Ci sono altri aspetti che stiamo approfondendo perchè ribadisco che se leggiamo l'art. 30 in modo che, se c'è trattamento sistematico, ci vuole sempre il registro, allora tutta la distinzione di almeno 250 o meno dipendenti è del tutto fuorviante. Non ci sarebbe sostanzialmente alcuna semplificazione per le pmi che, trattando comunque dati, dovrebbero comunque tenere il registro delle attività di trattamento.

Se fosse così si comprenderebbe perchè il Garante italiano nelle faq propone comunque anche soluzioni molto semplificate del registro, pur mantenedolo obbligatorio.

Due ottimi articoli dai quali partire sono:

- http://www.directio.it/multimedia/news/2018/03/30-obbligatorieta-tenuta-registro-trattamento-dati-personali.aspx

- https://protezionedatipersonali.it/registro-dei-trattamenti

A questo punto la norma, che così scritta non è affatto chiara nell'interpretazione pur condivisa dalla maggioranza, e si sarebbe potuta scrivere molto semplicemente cosi':

"Tutti sono obbligati a tenere il registro dei trattamenti, anche per trattamenti occasionali. Per le aziende al di sotto di 250 dipendenti non è obbligatorio  tenere il registro nei soli casi di trattamenti occasionali senza rischi per diritti e libertà delle persone e nei casi di trattamenti di dati non relativi alle categorie ex art.9."

La contorsione tuttavia usata, ripeto, non giustifica mettere come eccezione quella che invece diventa una regola fondamentale del gdpr, 

Ci si chiede se mettere come eccezione sia dal profilo logico che linguistico tale norma non debba avere una conseguenza e consentire così una impugnazione, o una riscrittura per semplificare nella sostanza, esonerando espressamente chi non tratta dati in larga scala e non particolari che invece, oggi, devono avere il registro.

Si dirà che è una valutazione di opportunità che nulla ha a che vedere con il diritto, ma rispondiamo che tutto nasce dalla inopportunità di licenziare un testo scritto così male: la regola principale non può essere espressa come eccezione di una eccezione in un contesto di semplificazione che non emerge mai nelle attività lavorative moderne. Le leggi devono essere chiare,  a maggior ragione quando poi pretendono informative chiare.

Questo naturalmente non ha effetti sulla nomina del DPO, che segue altri criteri.

Continueremo sul tema, perchè pur dovendo prendere atto dell'interpretazione maggioritaria e sostenuta da interpretazioni ufficiali, riteniamo che l'errore non debba passare inosservato.

Nessuno, su internet, titola: "il registro dei trattamenti è sempre obbligatorio, di fatto".

12.10.2018 Spataro



Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.029