Registro dei trattamenti obbligatorio negli studi
Nessuno si senta escluso. Anche quando non esiste un obbligo stretto, è comunque preferibile predisporre il registro delle attività di trattamento, l’adempimento previsto dall’articolo 30 del regolamento europeo sulla privacy. L’indicazione è del Garante della privacy, che ha cercato di sciogliere alcuni dubbi attraverso una serie di Faq pubblicate sul sito istituzionale (www.garanteprivacy.it).
Perché questo coinvolgimento così generale? Per il fatto, spiega l’Autorità, che il registro - dove devono essere annotati il tipo di dati personali utilizzati, le misure di sicurezza adottate per proteggerli, i soggetti a cui vengono comunicati, le finalità del trattamento - rappresenta una fotografia aggiornata di come una realtà si pone davanti alle nuove regole della privacy. E, soprattutto, di come dà corso a quel principio dell’accountability che rappresenta uno dei cardini del nuovo sistema e che, capovolgendo la filosofia precedente che dava precise prescrizioni per proteggere i dati, ora lascia al singolo titolare di valutare la strada più adeguata al proprio contesto, salvo poi dimostrarlo al Garante in occasione di un’eventuale azione di controllo. In questo senso, poter esibire all’Autorità il registro dei trattamenti agevola tale dialogo.
Se il consiglio è di predisporre comunque il registro, esiste tuttavia un’area di attività per le quali l’adempimento è obbligatorio, un perimetro che il Garante ha cercato di rendere ancora più preciso con le Faq. Intanto, le imprese e le organizzazioni con almeno 250 dipendenti. Poi, tutti quei soggetti che, sebbene con meno di 250 dipendenti, effettuano un trattamento di dati che può presentare un rischio anche non elevato per i diritti e le libertà di coloro a cui le informazioni personali si riferiscono oppure svolgono trattamenti non occasionali o ancora usano dati particolari (come quelli sulla salute) o giudiziari.
Dunque, il novero delle persone chiamate a redigere il registro è piuttosto ampio: ci rientrano gli studi professionali, a prescindere dalla loro grandezza (si pensi ai dottori commercialisti che raccolgono i dati per la dichiarazione dei redditi o agli avvocati, che utilizzano le informazioni giudiziarie), ma anche i piccoli artigiani con un dipendente (e, dunque, gestiscono le informazioni di quest’ultimo), gli estetisti, gli ottici, gli odontotecnici, i tatuatori, che solitamente raccolgono i dati sulla salute dei loro clienti.
Il registro - da predisporre in forma scritta, anche elettronica; fondamentale, tra gli altri elementi, è che riporti la data di prima attivazione e quella dell’ultimo aggiornamento - rappresenta un obbligo pure per le associazioni, le fondazioni e i comitati: per esempio, l’associazione che tutela i disabili o gli ex detenuti, perché gestisce dati particolari. Ma anche il condominio non può sottrarsi se, per esempio, dà corso a una richiesta di risarcimento di danni e spese mediche per infortuni avvenuti nell’area condominiale.