L’8 maggio scorso la European Data Protection Board (EDPB) ha presentato una lettera alla Commissione europea riguardo la semplificazione delle direttive in merito ai registri per il trattamento dei dati.
La Commissione sta considerando di estendere l’obbligo di tenere i registri anche ad aziende e organizzazioni al di sotto dei 250 dipendenti, oggi escluse nella maggior parte dei casi. L’obiettivo della semplificazione starebbe nel comprendere sotto la regola le SMC (Small Mid-cap Companies), anche chiamate PMI in Italia, con meno di 500 dipendenti e un certo fatturato annuale. Anche le organizzazioni no-profit sono incluse.
Cambiamento all’articolo 30
Altro punto importante della semplificazione è la modifica dell’articolo 30 comma 5 del GDPR. La Commissione vuole fare in modo di non applicare la deroga se il trattamento dei dati potesse risultare in un alto rischio alla libertà delle persone. La disposizione attuale, invece, si riferisce soltanto al trattamento che può presentare un rischio.
Inoltre, continua la lettera, l’EDPB ha riscontrato che l’attuazione di questa norma eliminerebbe alcune eccezioni alla deroga per la tenuta del registro, ovvero i riferimenti al trattamento occasionale e anche il riferimento al trattamento di categorie particolari di dati. È necessario saper incastrare tali modifiche nel quadro di dati personali per andare incontro alle leggi sul lavoro, sicurezza e protezione sociale. In questi frangenti le aziende non sarebbero obbligate a tenere traccia di come i dati vengono processati.
Le altre regole restano
L’EDPB si dice disponibile ad esprimere un sostegno preliminare alla norma, pur tenendo presente che non pregiudicherebbe l’obbligo, da parte di titolari e responsabili del trattamento, di adempiere alle altre regole del Garante.
Il punto più importante ora, è capire, attraverso analisi mirate, quante aziende andrebbero a beneficiare del cambiamento di norma, in modo da garantire un equilibrio proporzionato. È importante mantenere, però, un approccio basato sul rischio, visto e considerato che anche le piccole imprese possono trattare dati a rischio elevato.
Articolo di L.C.
