Al Congresso di AssoDPO Luigi Montuori (ufficio del Garante), parlando delle recenti attività del WP29, ha citato una recente “position paper” sull’esenzione dai Registri dei Trattamenti.
Ricordo che l’art. 30(5) recita: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Il WP29 ribadisce che l’esenzione non vale nei tre casi indicati (rischio per i diritti, trattamento non occasionale o dati sensibili/giudiziari), ma che le PMI sono tenute a mettere nei registri SOLO i trattamenti di quei tre tipi:
“However, such organisations need only maintain records of processing activities for the types of processing mentioned by Article 30(5). For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities. Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences”.