Il registro dei trattamenti è la base per poter parlare di privacy in una azienda.
Tanti hanno spiegato meglio di me perchè la deroga, di fatto, non esisterebbe. Secondo l'interpretazione ufficiale la deroga (che permette di non tenere un registro) è concessa solo se ricorrono tutte e tre le condizioni, pur avendo usato il termine "o". Così la maggioranza degli interpreti dai quali dissento.
Un "o" che significherebe "e".
Tuttavia questa "e" di fatto impedirebbe a chiunque di cogliere la deroga: occasionalmente a qualunque datore di lavoro può capitare di trattare dati personali, anche solo per obblighi di legge.
Ripeto: il registro è sempre opportuno. In mancanza un buon elenco delle risorse aziendali (per finalità operative oltre che organizzative) deve essere presente e per me devono essere presenti entrambi.
Ma la mancanza è sanzionata gravemente.
Il panettiere ha per finalità fare il pane, pagare le tasse con il commercialista; se ha dipendenti i relativi obblighi di legge e contrattuali. Occasionalmente deve trattare i dati sanitari dei dipendenti per le connesse finalità, come attività accessoria e legata ad essa.
Insomma: il medico tratta dati sanitari. A mio parere un panettiere che dichiari di trattare sistematicamente dati sanitari dei dipendenti non potrebbe poi trattarli sistematicamente. Diverso il caso del medico o dell'infermiere (che come dipendente non deve fare nulla)
Su questo ci sono state battaglie enormi.
Ho avuto modo di proporre una opportuna semplificazione valorizzando correttamente la occasionalità del trattamento (funzionale o accessorio al trattamento principale, quello del rapporto di lavoro) senza correre l'eccesso di renderlo così importante da essere un trattamento al pari di quello lavorativo e ad esso autonomo. Non è autonomo.
Occasionalità e autonomia dei trattamenti è qualcosa di non valorizzato nè dalla dottrina, nè dalla giurisprudenza, nè dalle attuali interpretazioni. Ma è citato nel testo stesso del gdpr come fatto presupposto. Rientra sicuramente nella nozione di trattamento, da rileggere.
Un fatto è emerso: non è facile ora procedere ad una interpretazione ovvia ed esemplificativa senza l'accordo di tutte le altre autorità. Questo rallenta quel percorso che tutte le aziende si aspettano rapidamente per non avere adempimenti formali contrari alla sostanza.
Per qualche motivo questo tema dell'occasionalità funzionale è sollevato dalle aziende, non dai consulenti.
Ripeto: l'interpretazione ufficiale è opposta. Ico la conferma:
"An insurance company ... For instance, it occasionally does profiling on its customer database for the purposes of insurance-risk classification. Rare though this is, the company must still document it. This is because creating inferred data through profiling can be intrusive and result in risks to individuals’ rights and freedoms."
Tuttavia il trattamento esemplificato è diretta conseguenza dell'attività svolta: "assicuratore talvolta profila gli assicurati". Non il panettiere che fa pane e talvolta deve sbrigare gli obblighi di legge e contrattuali legati ad una malattia. Non sono trattamenti funzionali al trattamento principale.
Quelli dell'assicuratore e del panettiere degli esempi sono entrambi trattamenti accessori, ma per il panettiere non è funzionale all'attività - trattamento svolto, mentre per l'assicuratore lo e'.
Ecco i testi che ho trovato citare espressamente "occasionale". La ricerca continua,a partire dalle guide del wp29.
CITAZIONI DOCUMENTATE (da privacykit.it )
Art. 30:
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo10.
5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.
Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti:
Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
Considerando 80
Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratta dati personali di interessati che si trovano nell'Unione e le sue attività di trattamento sono connesse all'offerta di beni o alla prestazione di servizi a tali interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, o al controllo del loro comportamento, nella misura in cui tale comportamento ha luogo all'interno dell'Unione, è opportuno che tale titolare del trattamento o responsabile del trattamento designi un rappresentante, tranne se il trattamento è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati personali o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento, o se il titolare del trattamento è un'autorità pubblica o un organismo pubblico.
Photo courtesy of pixabay