Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario    
             



Consulenza privacy e e-commerce



  


Privacy 12.10.2018    Pdf    Appunta    Letti    Post successivo  

Il registro dei trattamenti e' sempre obbligatorio. Di fatto

Si conferma l'opportunita' sempre sostenuta di avere un registro dei trattamenti. Tutti.

Tuttavia pare che l'interpretazione maggioritaria ritenga il registro obbligatorio sempre, salvo casi marginalissimi.

Cerchiamo di capire le conseguenze di una tecnica legiferativa di indicare una regola cosi' importante come eccezione di una eccezione in un contesto di semplificazione.
Spataro

 

-

^ - La questione

Sto approfondendo, ancora una volta, l'esenzione di cui all'art.30.5.

^ Il tema è questo: il registro dei trattamenti e', di fatto, obbligatorio sempre per chi ha meno di 250 dipendenti ? 

Scanso equivoci confermo a tutti quello che ho sempre ripetuto a tutti:^ l'unico modo per dimostrare il rispetto del gdpr è tenere comunque il registro dei trattamenti.

Questo non significa che si debba avere anche un dpo. Ma il registro va tenuto sempre per potersi difendere.

^ - L'art. 30.5

Ci sono altri aspetti che stiamo approfondendo perchè ribadisco che se leggiamo l'art. 30 in modo che, se c'è trattamento sistematico, ci vuole sempre il registro, allora tutta la distinzione di almeno 250 o meno dipendenti è del tutto fuorviante. Non ci sarebbe sostanzialmente alcuna semplificazione per le pmi che, trattando comunque dati, dovrebbero comunque tenere il registro delle attività di trattamento.

Se fosse così si comprenderebbe perchè il Garante italiano nelle faq propone comunque anche soluzioni molto semplificate del registro, pur mantenedolo obbligatorio.

Due ottimi articoli dai quali partire sono:

- http://www.directio.it/multimedia/news/2018/03/30-obbligatorieta-tenuta-registro-trattamento-dati-personali.aspx

- https://protezionedatipersonali.it/registro-dei-trattamenti

A questo punto la norma, che così scritta non è affatto chiara nell'interpretazione pur condivisa dalla maggioranza, e si sarebbe potuta scrivere molto semplicemente cosi':

"Tutti sono obbligati a tenere il registro dei trattamenti, anche per trattamenti occasionali. Per le aziende al di sotto di 250 dipendenti non è obbligatorio  tenere il registro nei soli casi di trattamenti occasionali senza rischi per diritti e libertà delle persone e nei casi di trattamenti di dati non relativi alle categorie ex art.9."

La contorsione tuttavia usata, ripeto, non giustifica mettere come eccezione quella che invece diventa una regola fondamentale del gdpr, 

Ci si chiede se mettere come eccezione sia dal profilo logico che linguistico tale norma non debba avere una conseguenza e consentire così una impugnazione, o una riscrittura per semplificare nella sostanza, esonerando espressamente chi non tratta dati in larga scala e non particolari che invece, oggi, devono avere il registro.

Si dirà che è una valutazione di opportunità che nulla ha a che vedere con il diritto, ma rispondiamo che tutto nasce dalla inopportunità di licenziare un testo scritto così male: ^ la regola principale non può essere espressa come eccezione di una eccezione in un contesto di semplificazione che non emerge mai nelle attività lavorative moderne. Le leggi devono essere chiare,  a maggior ragione quando poi pretendono informative chiare.

Questo naturalmente non ha effetti sulla nomina del DPO, che segue altri criteri.

Continueremo sul tema, perchè pur dovendo prendere atto dell'interpretazione maggioritaria e sostenuta da interpretazioni ufficiali, riteniamo che l'errore non debba passare inosservato.

^ Nessuno, su internet, titola: "il registro dei trattamenti è sempre obbligatorio, di fatto".

12.10.2018 Spataro



E-privacy XXIX: Lasciateci la faccia - Spataro: password vs riconoscimenti biometrici
La gestione delle password e l'accesso alle risorse digitali
Doxing
La minimizzazione degli scritti difensivi nel rispetto del GDPR
Quale protezione per gli hard disk persi ?
EDPB: gli Stati rimettano in discussione i trattati internazionali non conformi al GDPR
Intelligenza artificiale: relazione finale, assicurare o affiancare ?
Il Garante boccia Sari in assenza di leggi specifiche e per trattamenti potenziali
Floc: il nuovo tracciamento di Google, abilitato by default. Usiamo bloc floc.
Fastweb e telemarketing aggressivo: 4.500.000



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.507