Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Gdpr 21.02.2018    Pdf    Appunta    Letti    Post successivo  

GDPR Il registro dei trattamenti delle attivita' e', di fatto, obbligatorio sempre ?

Il tema e' sollevato opportunamente da alcuni avvocato che stimo in questo settore.
Spataro

 

G

Gli avv. Marco Cuniberti e Marzio Maglio su linkedin si sono incontrati sul tema e hanno approfondito oppurtunamente il tema dell'obbligatorietà del registro dei trattamenti.

"Non si vede infatti quale impresa, seppure piccolissima, possa escludere di trattare perlomeno dati particolari ex art. 9, visto che deve custodire la cartella sanitaria del dipendente, anche se ne ha solo uno; "

Secondo loro quindi il registro dei trattamenti è obbligatorio sempre perchè una delle condizioni escluderebbe di "non tenerlo obbligatoriamente".

La regola sarebbe: se hai meno di 250 dipendenti e non tratti dati sanitari.

Così qualsiasi azienda che sa di una influenza dovrebbe tenere obbligatoriamente il registro dei trattamenti.

Era un problema che mi riservavo di studiare. Li ringrazio di averlo sollevato.

Ecco le mie valutazioni.



"il trattamento non sia occasionale". E' la finalità del dato (il trattamento) che conta, non l'esistenza del dato.

E' esplicito.

Una influenza e un permesso sono trattati occasionalmente e per un obbligo di legge, di norma (vedremo dopo l'esempio).

L'art.9 lo spiega espressamente:

"1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

...

b). il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;"

Ora che l'art.9 venga applicato solo nel paragrafo (comma) 1 e non anche nel 2 solo perchè ne "manca" il riferimento espresso nell'art.30 è una interpretazione.

L'art.30 ha la ratio di semplificare. L'.art.9 ha la ratio di dare una regola generale. La semplificazione ha senso se il trattamento è occasionale nel significato indicato anche dal comma 2.

Si aggiunga che nessuna norma esplicita impone di leggere l'art.9 solo in parte (e così cambiamo le leggi come vogliamo, mi dicono che sia ancora vietato), là dove le eccezioni sono parte essenziale del principio.

In questo sicuramente c'è un problema culturale. Non siamo abituati ad un testo (europeo) che esprime principi che includano in sè eccezioni, e le eccezioni siano parte costitutiva della regola generale. Nei testi italiani più recenti è uso invece che l'eccezione non abbia natura di regola generale.

Diverso il trattamento delle malattie degli infermieri in un ospedale (con meno di 250 dipendenti che, per finalità di salute dei pazienti, devono sapere quando e come l'infermiere si ammala, per evitare contagi. Questo è un trattamento sistematico.

In conclusione.

  • se interpreto l'art. 30 nel senso che non si applica il comma 2 dell'art.9 sto interpretando l'art.30 in modo tale che la norma dell'art.30 resti lettera morta.
  • se interpreto l'art. 30 nel senso che il richiamo all'art.9 include anche il 9.2, la norma di semplificazione realizza tutta la sua finalità escludendo l'obbligo del registro, e il principio dell'art.9 viene applicato nella sua interezza.

Le norme sull'interpretazione ci dicono quale è l'interpretazione da seguire tra due potenzialmente sostenibili.

Detto questo, il registro dei trattamenti, non obbligatorio, va tenuto spontaneamente per documentare la propria attività in caso di contestazioni.

v.

Al link sotto indicato la discussione su linkedin

21.02.2018 Spataro
linkedin


Il Garante Europeo richiama la Commissione, e arrivano i nodi al pettine.
Garante: Il contratto sottoscritto da una sola parte non e' scritto ai fini del gdpr; gestione della sd card - 9990659
Antidoping e protezione dei dati: l'avvocato generale considera che un'autorità nazionale antidoping che pubblica su Internet dati personali di un atleta professionista dopato non agisce in violazione del RGPD  cp230142it.pdf
Il Colorado, il GDPR, la Cybersicurezza e il livello accettabile.
Grumpy gdpr podcast on illegitimate interest
005 Come iniziare a rispettare il GDPR: il censimento delle risorse
066 GDPR: Ho sviluppato una app ... quali adempimenti privacy ?
122 Qrcode e privacy - un processo da valutare e verificare
157 Google analytics, GDPR, le alternative e i vantaggi
262 GDPR 5 anni dopo, i pro e i contro



Segui le novità in materia di Gdpr su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.035