Sto approfondendo, ancora una volta, l'esenzione di cui all'art.30.5.
Il tema è questo: il registro dei trattamenti e', di fatto, obbligatorio sempre per chi ha meno di 250 dipendenti ?
Scanso equivoci confermo a tutti quello che ho sempre ripetuto a tutti: l'unico modo per dimostrare il rispetto del gdpr è tenere comunque il registro dei trattamenti.
Questo non significa che si debba avere anche un dpo. Ma il registro va tenuto sempre per potersi difendere.
Ci sono altri aspetti che stiamo approfondendo perchè ribadisco che se leggiamo l'art. 30 in modo che, se c'è trattamento sistematico, ci vuole sempre il registro, allora tutta la distinzione di almeno 250 o meno dipendenti è del tutto fuorviante. Non ci sarebbe sostanzialmente alcuna semplificazione per le pmi che, trattando comunque dati, dovrebbero comunque tenere il registro delle attività di trattamento.
Se fosse così si comprenderebbe perchè il Garante italiano nelle faq propone comunque anche soluzioni molto semplificate del registro, pur mantenedolo obbligatorio.
Due ottimi articoli dai quali partire sono:
- http://www.directio.it/multimedia/news/2018/03/30-obbligatorieta-tenuta-registro-trattamento-dati-personali.aspx
- https://protezionedatipersonali.it/registro-dei-trattamenti
A questo punto la norma, che così scritta non è affatto chiara nell'interpretazione pur condivisa dalla maggioranza, e si sarebbe potuta scrivere molto semplicemente cosi':
"Tutti sono obbligati a tenere il registro dei trattamenti, anche per trattamenti occasionali. Per le aziende al di sotto di 250 dipendenti non è obbligatorio tenere il registro nei soli casi di trattamenti occasionali senza rischi per diritti e libertà delle persone e nei casi di trattamenti di dati non relativi alle categorie ex art.9."
La contorsione tuttavia usata, ripeto, non giustifica mettere come eccezione quella che invece diventa una regola fondamentale del gdpr,
Ci si chiede se mettere come eccezione sia dal profilo logico che linguistico tale norma non debba avere una conseguenza e consentire così una impugnazione, o una riscrittura per semplificare nella sostanza, esonerando espressamente chi non tratta dati in larga scala e non particolari che invece, oggi, devono avere il registro.
Si dirà che è una valutazione di opportunità che nulla ha a che vedere con il diritto, ma rispondiamo che tutto nasce dalla inopportunità di licenziare un testo scritto così male: la regola principale non può essere espressa come eccezione di una eccezione in un contesto di semplificazione che non emerge mai nelle attività lavorative moderne. Le leggi devono essere chiare, a maggior ragione quando poi pretendono informative chiare.
Questo naturalmente non ha effetti sulla nomina del DPO, che segue altri criteri.
Continueremo sul tema, perchè pur dovendo prendere atto dell'interpretazione maggioritaria e sostenuta da interpretazioni ufficiali, riteniamo che l'errore non debba passare inosservato.
Nessuno, su internet, titola: "il registro dei trattamenti è sempre obbligatorio, di fatto".