Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


Gdpr 21.02.2018    Pdf    Appunta    Letti    Post successivo  

GDPR Il registro dei trattamenti delle attivita' e', di fatto, obbligatorio sempre ?

Il tema e' sollevato opportunamente da alcuni avvocato che stimo in questo settore.
Spataro

 

G

Gli avv. Marco Cuniberti e Marzio Maglio su linkedin si sono incontrati sul tema e hanno approfondito oppurtunamente il tema dell'obbligatorietà del registro dei trattamenti.

"Non si vede infatti quale impresa, seppure piccolissima, possa escludere di trattare perlomeno dati particolari ex art. 9, visto che deve custodire la cartella sanitaria del dipendente, anche se ne ha solo uno; "

Secondo loro quindi il registro dei trattamenti è obbligatorio sempre perchè una delle condizioni escluderebbe di "non tenerlo obbligatoriamente".

La regola sarebbe: se hai meno di 250 dipendenti e non tratti dati sanitari.

Così qualsiasi azienda che sa di una influenza dovrebbe tenere obbligatoriamente il registro dei trattamenti.

Era un problema che mi riservavo di studiare. Li ringrazio di averlo sollevato.

Ecco le mie valutazioni.



^ "il trattamento non sia occasionale". E' la finalità del dato (il trattamento) che conta, non l'esistenza del dato.

E' esplicito.

Una influenza e un permesso sono trattati occasionalmente e per un obbligo di legge, di norma (vedremo dopo l'esempio).

L'art.9 lo spiega espressamente:

"1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

...

b). il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;"

Ora che l'art.9 venga applicato solo nel paragrafo (comma) 1 e non anche nel 2 solo perchè ne "manca" il riferimento espresso nell'art.30 è una interpretazione.

L'art.30 ha la ratio di semplificare. L'.art.9 ha la ratio di dare una regola generale. La semplificazione ha senso se il trattamento è occasionale nel significato indicato anche dal comma 2.

Si aggiunga che nessuna norma esplicita impone di leggere l'art.9 solo in parte (e così cambiamo le leggi come vogliamo, mi dicono che sia ancora vietato), là dove le eccezioni sono parte essenziale del principio.

In questo sicuramente c'è un problema culturale. Non siamo abituati ad un testo (europeo) che esprime principi che includano in sè eccezioni, ^ e le eccezioni siano parte costitutiva della regola generale. Nei testi italiani più recenti è uso invece che l'eccezione non abbia natura di regola generale.

Diverso il trattamento delle malattie degli infermieri in un ospedale (con meno di 250 dipendenti che, per finalità di salute dei pazienti, devono sapere quando e come l'infermiere si ammala, per evitare contagi. Questo è un trattamento sistematico.

In ^ conclusione.

  • se interpreto l'art. 30 nel senso che ^ non si applica il comma 2 dell'art.9 sto interpretando l'art.30 in modo tale che la norma dell'art.30 resti lettera morta.
  • se interpreto l'art. 30 nel senso che ^ il richiamo all'art.9 include anche il 9.2, la norma di semplificazione realizza tutta la sua finalità escludendo l'obbligo del registro, e il principio dell'art.9 viene applicato nella sua interezza.

Le norme sull'interpretazione ci dicono quale è l'interpretazione da seguire tra due potenzialmente sostenibili.

Detto questo, il registro dei trattamenti, non obbligatorio, va tenuto ^ spontaneamente per documentare la propria attività in caso di contestazioni.

v.

Al link sotto indicato la discussione su linkedin

21.02.2018 Spataro
linkedin


Arrivano le class action anche per il GDPR.
Privacy: Non tutti i qr code sono uguali
LIVE: WordPress e il GDPR, per proprietari e fornitori
GDPR e Aws: il Consiglio di Stato in Francia ne autorizza l'uso
La minimizzazione degli scritti difensivi nel rispetto del GDPR
EDPB: gli Stati rimettano in discussione i trattati internazionali non conformi al GDPR
L'Antitrust punta i piedi contro i tracciamenti - tutti - di Google
GDPR in pillole per sviluppatori informatici: come spostare un server anche in urgenza
GDPR in pillole per sviluppatori informatici: la gestione dei dati nei debug nell'invio di posta
Domanda: la liberatoria per i ritratti deve essere limitata nel tempo per la privacy ?



Segui le novità in materia di Gdpr su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.031