GDPR Il registro dei trattamenti delle attivita' e', di fatto, obbligatorio sempre ?

Gli avv. Marco Cuniberti e Marzio Maglio su linkedin si sono incontrati sul tema e hanno approfondito oppurtunamente il tema dell'obbligatorieta' del registro dei trattamenti.

"Non si vede infatti quale impresa, seppure piccolissima, possa escludere di trattare perlomeno dati particolari ex art. 9, visto che deve custodire la cartella sanitaria del dipendente, anche se ne ha solo uno; "

Secondo loro quindi il registro dei trattamenti e' obbligatorio sempre perche' una delle condizioni escluderebbe di "non tenerlo obbligatoriamente".

La regola sarebbe: se hai meno di 250 dipendenti e non tratti dati sanitari.

Cosi' qualsiasi azienda che sa di una influenza dovrebbe tenere obbligatoriamente il registro dei trattamenti.

Era un problema che mi riservavo di studiare. Li ringrazio di averlo sollevato.

Ecco le mie valutazioni.

"il trattamento non sia occasionale". E' la finalita' del dato (il trattamento) che conta, non l'esistenza del dato.

E' esplicito.

Una influenza e un permesso sono trattati occasionalmente e per un obbligo di legge, di norma (vedremo dopo l'esempio).

L'art.9 lo spiega espressamente:

"1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

...

b). il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;"

Ora che l'art.9 venga applicato solo nel paragrafo (comma) 1 e non anche nel 2 solo perche' ne "manca" il riferimento espresso nell'art.30 e' una interpretazione.

L'art.30 ha la ratio di semplificare. L'.art.9 ha la ratio di dare una regola generale. La semplificazione ha senso se il trattamento e' occasionale nel significato indicato anche dal comma 2.

Si aggiunga che nessuna norma esplicita impone di leggere l'art.9 solo in parte (e cosi' cambiamo le leggi come vogliamo, mi dicono che sia ancora vietato), la' dove le eccezioni sono parte essenziale del principio.

In questo sicuramente c'e' un problema culturale. Non siamo abituati ad un testo (europeo) che esprime principi che includano in se' eccezioni, e le eccezioni siano parte costitutiva della regola generale. Nei testi italiani piu' recenti e' uso invece che l'eccezione non abbia natura di regola generale.

Diverso il trattamento delle malattie degli infermieri in un ospedale (con meno di 250 dipendenti che, per finalita' di salute dei pazienti, devono sapere quando e come l'infermiere si ammala, per evitare contagi. Questo e' un trattamento sistematico.

In conclusione.

• se interpreto l'art. 30 nel senso che non si applica il comma 2 dell'art.9 sto interpretando l'art.30 in modo tale che la norma dell'art.30 resti lettera morta.
• se interpreto l'art. 30 nel senso che il richiamo all'art.9 include anche il 9.2, la norma di semplificazione realizza tutta la sua finalita' escludendo l'obbligo del registro, e il principio dell'art.9 viene applicato nella sua interezza.

Le norme sull'interpretazione ci dicono quale e' l'interpretazione da seguire tra due potenzialmente sostenibili.

Detto questo, il registro dei trattamenti, non obbligatorio, va tenuto spontaneamente per documentare la propria attivita' in caso di contestazioni.

v.

Al link sotto indicato la discussione su linkedin