Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno pubblicato una lettera, indirizzata alla Commissione europea, sull’imminente proposta di semplificazione dell’obbligo di conservazione dei dati nel registro dei trattamenti, ai sensi del GDPR.
La proposta, in particolare, consiste in una modifica mirata dell’art. 30, par. 5, del GDPR, ovvero nella possibilità di estendere la deroga prevista da tale articolo all’obbligo di conservare i registri dei trattamenti, attualmente applicabile alle imprese o organizzazioni con meno di 250 dipendenti (comprese le piccole e medie imprese o PMI), per includere anche le “piccole imprese a media capitalizzazione” (PMI), ovvero le imprese con meno di 500 dipendenti e con un determinato fatturato annuo, nonché le organizzazioni, come quelle no profit, con meno di 500 dipendenti.
Inoltre, la Commissione sta valutando la possibilità di modificare l’art. 30, par. 5 del GDPR per stabilire che la deroga non si applichi se il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche“, mentre la disposizione attuale si limita a fare riferimento al trattamento che può presentare un rischio.
Al contempo, alcune eccezioni alla deroga relativa alla tenuta di un registro dei trattamenti verrebbero eliminate, in particolare eliminando i riferimenti al trattamento occasionale ed eventualmente anche il riferimento al trattamento di categorie particolari di dati.
Un considerando aggiuntivo al GDPR chiarirebbe che il trattamento di categorie particolari di dati personali, come quelli per ottemperare a un obbligo legale in materia di diritto del lavoro, della sicurezza sociale o della protezione sociale (in conformità all’art. 9, par. 2, lett. b) del GDPR) non sarebbero soggette all’obbligo di tenere un registro di tali attività di trattamento.
L’EDPB e il Garante Europeo hanno condiviso che, in questa fase, potrebbero esprimere un sostegno preliminare a questa iniziativa di semplificazione mirata, in considerazione del fatto che le modifiche proposte non influirebbero sull’obbligo dei responsabili del trattamento e degli incaricati del trattamento di rispettare gli altri obblighi del GDPR.
Tuttavia, entrambi gli organismi ritengono utile comprendere, tra gli altri elementi, il numero di aziende e organizzazioni che trarrebbero beneficio dalla semplificazione contenuta nel progetto di proposta e il suo impatto sulla protezione dei dati personali, attraverso un’analisi condotta dalla Commissione: ciò contribuirebbe a valutare se il progetto di proposta garantisca un equilibrio proporzionato ed equo tra la protezione dei dati personali e gli interessi delle organizzazioni con meno di 500 dipendenti.
