PMI e GDPR: semplificazioni e Registro delle attività di trattamento

31/10/2018
di Simona Cerone

PMI, micro imprese e GDPR: cosa dice il Decreto di armonizzazione

Il 19 settembre scorso è finalmente entrato in vigore il tanto atteso Decreto Legislativo n° 101/2018, contenente indicazioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, anche conosciuto come GDPR – General Data Protection Regulation, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Tra le varie modifiche apportate al Codice Privacy, il nostro Decreto Legislativo 196/2003 che, seppur novellato, rimane vigente a tutti gli effetti, si inserisce il nuovo articolo 154 bis finalizzato all’attribuzione di nuovi poteri in capo alla nostra Autorità Garante.

Tra i poteri previsti dal Governo nel Decreto Legislativo, si prevede che il Garante per la protezione dei dati personali promuova “linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori” e che dette linee guida siano promosse ed adottate anche “in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese” come definite dalla raccomandazione della Commissione Europea 2003/361/CE relativa alla definizione delle microimprese, piccole e medie imprese al fine di individuare modalità semplificate di adempimento degli obblighi del Titolare del Trattamento.

Le semplificazioni per le PMI

PMITali linee guida, che hanno come antenato la risalente “Guida pratica e misure di semplificazione per le piccole e medie imprese”, pubblicata in Gazzetta Ufficiale il 21 Giugno 2007, sono destinate alle imprese, cioè ogni entità, a prescindere dalla forma giuridica rivestita, che eserciti un’attività economica, al fine di fornire uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente in materia di protezione dei dati personali, indicando soluzioni semplificate di adempimenti che talvolta vengono reputati eccessivamente onerosi, specie nello svolgimento delle ordinarie attività d´impresa delle realtà produttive di più ridotte dimensioni. Anche per le PMI, infatti, una corretta protezione dei dati personali e della riservatezza può rappresentare un mezzo di efficienza nonché di fiducia da parte dei clienti.

Ai sensi della raccomandazione si considerano tali le entità che esercitano un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che esercitino un’attività economica.

La categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da:

  • medie imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di Euro oppure il cui totale di bilancio annuo non supera i 43 milioni di Euro;
  • piccole imprese, che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di Euro;
  • microimprese, che occupano meno di 10 persone e realizzano un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di Euro.

In attesa delle linee guida, il Garante per la protezione dei dati personali ha già provveduto a fornire alcune semplificazioni, prima fra tutte un modello semplificato di Registro delle attività di trattamento, adempimento introdotto dal Regolamento UE all’articolo 30 e per il quale il Titolare e il Responsabile del trattamento devono indicare una serie di informazioni utili a mappare tutti i trattamenti effettuati (ad es. le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali etc.), adempimento da cui risultano essere sollevate le “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Chi è tenuto, quindi, alla tenuta del Registro delle attività di Trattamento?

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
Riproduzione riservata ©

ALTRE NEWS

Nuovi badge per monitorare i dipendenti in ufficio: People Analytics

Già in uso in Gran Bretagna e negli USA, il People Analytics è un nuovo strumento in grado di analizzare il sentimento umano nel mercato…. Leggi Tutto

Il Decreto Sviluppo: ”esegesi” dell’art. 6 e la semplificazione degli obblighi privacy

Il Decreto Sviluppo: l’”esegesi” dell’art. 6 e la semplificazione degli obblighi privacy in capo ai titolari del trattamento dei dati personali. Nel silenzio assordante dell’Autorità… Leggi Tutto

“Non mi paghi? Ed io ti registro sul SIT!”. Nessun consenso richiesto.

Con delibera del 27 marzo 2014, l’Autorità Garante della protezione dei dati personali ha aperto una consultazione pubblica per raccogliere osservazioni da parte di tutti… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.