Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato una lettera congiunta in risposta alla proposta della Commissione Europea volta a semplificare gli obblighi di tenuta del registro delle attività di trattamento ai sensi dell’articolo 30 del GDPR.
La proposta, facente parte del quarto pacchetto legislativo Omnibus, mira ad alleggerire gli oneri di conformità per alcune categorie di organizzazioni, cercando al contempo di mantenere le tutele fondamentali in materia di privacy.
Il progetto della Commissione propone di estendere la deroga esistente ai sensi dell’articolo 30, paragrafo 5, del GDPR. Attualmente, tale deroga esenta le organizzazioni con meno di 250 dipendenti dall’obbligo di tenuta di un registro delle attività di trattamento, a meno che non sussistano specifiche condizioni legate al rischio. Le modifiche proposte estenderebbero tale esenzione alle “piccole imprese a media capitalizzazione” (SMC) e alle organizzazioni senza scopo di lucro con meno di 500 dipendenti. Inoltre, la revisione proposta modificherebbe l’articolo 30, paragrafo 5, del GDPR per prevedere che la deroga non si applichi se il trattamento è “possa presentare un rischio elevato” anziché “possa presentare un rischio”, innalzando così la soglia di rischio.
La proposta elimina inoltre alcune limitazioni attuali, come l’eccezione per il trattamento occasionale. Infine, un considerando della proposta chiarirebbe che il trattamento di categorie particolari di dati personali per adempiere a un obbligo di legge in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (in conformità all’articolo 9, paragrafo 2, lettera b), del GDPR) non sarebbe soggetto all’obbligo di conservare un registro delle attività di trattamento.
L’EDPB e l’EDPS hanno espresso un sostegno preliminare alla esposta semplificazione, riconoscendone il potenziale di ridurre gli oneri di conformità senza compromettere la protezione dei dati personali. Tuttavia, hanno sottolineato l’importanza di un’analisi empirica per valutarne l’impatto reale. In particolare, hanno esortato la Commissione a fornire dati sul numero di organizzazioni che beneficerebbero della riforma e a valutare in che modo tali modifiche potrebbero influire sulla protezione dei dati nel suo complesso.
Si sottolinea in particolare che le autorità di controllo hanno accolto con favore il mantenimento dell’obbligo di tenuta del registro per le attività di trattamento ad alto rischio, osservando che anche le organizzazioni di piccole dimensioni possono svolgere tali operazioni. Hanno inoltre richiamato l’attenzione sulle linee guida esistenti, in particolare quelle del gruppo di lavoro articolo 29 sulle valutazioni d’impatto sulla protezione dei dati (DPIA), che forniscono utili indicazioni in relazione a quando il trattamento può essere considerato ad alto rischio.
Nonostante il loro sostegno preliminare, l’EDPB e l’EDPS hanno sottolineato che la semplificazione dell’onere di tenuta del registro non deve compromettere i diritti fondamentali degli interessati. Hanno in particolare ribadito la necessità di mantenere un approccio basato sul rischio e hanno specificato che la pubblicazione del testo legislativo definitivo sarà seguita da un processo di consultazione formale.
Dovremo attendere il testo legislativo ufficiale per confermare la semplificazione degli obblighi di tenuta del registro dei trattamenti. Tuttavia, è evidente che le modifiche proposte potrebbero alleggerire in modo significativo gli oneri di conformità per molte piccole imprese sulle quali attualmente gravano i complessi requisiti imposti dall’articolo 30 del GDPR.
Su un argomento simile può essere d’interesse l’articolo “Il Garante Privacy ha sanzionato un’azienda per violazioni nelle sue pratiche di telemarketing“