PMI e GDPR: semplificazioni e Registro delle attività di trattamento

PMI, micro imprese e GDPR: cosa dice il Decreto di armonizzazione

Il 19 settembre scorso è finalmente entrato in vigore il tanto atteso Decreto Legislativo n° 101/2018, contenente indicazioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, anche conosciuto come GDPR – General Data Protection Regulation, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Tra le varie modifiche apportate al Codice Privacy, il nostro Decreto Legislativo 196/2003 che, seppur novellato, rimane vigente a tutti gli effetti, si inserisce il nuovo articolo 154 bis finalizzato all’attribuzione di nuovi poteri in capo alla nostra Autorità Garante.

Tra i poteri previsti dal Governo nel Decreto Legislativo, si prevede che il Garante per la protezione dei dati personali promuova “linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori” e che dette linee guida siano promosse ed adottate anche “in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese” come definite dalla raccomandazione della Commissione Europea 2003/361/CE relativa alla definizione delle microimprese, piccole e medie imprese al fine di individuare modalità semplificate di adempimento degli obblighi del Titolare del Trattamento.

Le semplificazioni per le PMI

Tali linee guida, che hanno come antenato la risalente “Guida pratica e misure di semplificazione per le piccole e medie imprese”, pubblicata in Gazzetta Ufficiale il 21 Giugno 2007, sono destinate alle imprese, cioè ogni entità, a prescindere dalla forma giuridica rivestita, che eserciti un’attività economica, al fine di fornire uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente in materia di protezione dei dati personali, indicando soluzioni semplificate di adempimenti che talvolta vengono reputati eccessivamente onerosi, specie nello svolgimento delle ordinarie attività d´impresa delle realtà produttive di più ridotte dimensioni. Anche per le PMI, infatti, una corretta protezione dei dati personali e della riservatezza può rappresentare un mezzo di efficienza nonché di fiducia da parte dei clienti.

Ai sensi della raccomandazione si considerano tali le entità che esercitano un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che esercitino un’attività economica.

La categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da:

• medie imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di Euro oppure il cui totale di bilancio annuo non supera i 43 milioni di Euro;
• piccole imprese, che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di Euro;
• microimprese, che occupano meno di 10 persone e realizzano un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di Euro.

In attesa delle linee guida, il Garante per la protezione dei dati personali ha già provveduto a fornire alcune semplificazioni, prima fra tutte un modello semplificato di Registro delle attività di trattamento, adempimento introdotto dal Regolamento UE all’articolo 30 e per il quale il Titolare e il Responsabile del trattamento devono indicare una serie di informazioni utili a mappare tutti i trattamenti effettuati (ad es. le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali etc.), adempimento da cui risultano essere sollevate le “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Chi è tenuto, quindi, alla tenuta del Registro delle attività di Trattamento?

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.