LA RIFLESSIONE

Il GDPR e la “regola” del numero 250: best practice per un corretto adeguamento alla normativa

Ci sono alcune interpretazioni su alcuni degli obblighi previsti dal GDPR che hanno creato non poca confusione alle aziende nel loro percorso di adeguamento alla normativa privacy. Proviamo quindi a fare un po’ di chiarezza per ottenere una corretta compliance al Regolamento UE

04 Mar 2020
F
Lorenzo Frascotti

Consulente Privacy e DPO


A quasi due anni dalla piena applicabilità del Regolamento europeo sulla protezione dei dati, ci sono ancora i presupporti per redigere lo “stupidario del GDPR”, ossia una raccolta di tutte le più fantasiose e a volte funamboliche interpretazioni che sul tema si sono finora ripetute: a cominciare da quelle, assai ricorrenti, che ruotano intorno al “magico” numero 250.

Proviamo a fare un po’ di chiarezza.

DPO: quando è obbligatorio

La prima interpretazione errata del GDPR che ruota attorno al numero 250 riguarda l’obbligatorietà della nomina del DPO solo nelle aziende con più di 250 dipendenti.

Come spesso accade, chi legge troppo frettolosamente le leggi non si accorge delle evidenze quali la seguente: il GDPR non impone questo vincolo da nessuna parte.

Infatti, gli articoli 37, 38 e 39 (quelli che regolamentano la figura del DPO) non citano il parametro dei 250 dipendenti, e neppure i vari Considerando ad essi riferiti.

La cosa sconcertante è che neppure il WP 29 (oggi “Comitato Europeo per la Protezione dei Dati Personali”) nelle “Linee guida sui Responsabili della Protezione dei Dati” (WP 243 versione del 5 aprile 2017) cita questo parametro e neanche il Garante per la Protezione dei Dati nella sua “Guida all’Applicazione del Regolamento Europeo in materia di Protezione dei Dati Personali” afferma una cosa simile, neppure nella FAQ riferita al tema.

Ma allora, perché in molti citano questo parametro? In realtà il parametro dei “250 dipendenti” è frutto da un lato di pubblicisti web poco informati, dall’altro di congressisti che preparano i propri interventi attingendo a fonti “non ufficiali”, ossia da internet.

LIVE STREAMING 4 giugno
Emergenza e attività in difficoltà? Affronta le nuove sfide con l'Intelligenza artificiale
Intelligenza Artificiale
Realtà virtuale

La verità è che nella prima versione del Regolamento Europeo era stato inserito, quale parametro per l’obbligatorietà della nomina del DPO, che l’azienda avesse almeno 250 dipendenti oppure che trattasse almeno 5.000 record. Questo parametro è stato poi eliminato dalla versione definitiva pubblicata sulla Gazzetta Ufficiale dell’Unione Europea. Ma nel frattempo, numerosi pubblicisti (soprattutto web) si erano affrettati a darne notizia. Il web non cancella le notizie man mano che invecchiano e, col passare del tempo, chiunque facia ricerche sul Regolamento Europeo potrebbe ancora incappare in uno di quegli articoli.

Pur non sussistendo l’obbligo, non sussiste neppure il divieto. Così allo scrivente è capitato di incrociare bar di periferia ove era affissa un’informativa in bella vista recante i riferimento del DPO. E, in quell’occasione, lo scrivente non ha potuto che complimentarsi con il gestore per il grande zelo dimostrato.

Obbligo di tenuta del registro dei trattamenti

Un’altra interpretazione del GDPR che ruota attorno al numero “magico” 250 riguarda l’obbligatorietà del registro dei trattamenti solo per le aziende con più di 250 dipendenti.

È uno dei casi in cui generalizzare fa male. In effetti, questa affermazione, se non tiene conto delle esclusioni previste dal Regolamento, è errata.

L’errore di fondo sta in un lettura scialba della normativa, condotta da chi non ha un’idea precisa di quali generi di trattamenti di dati personali avvengano quotidianamente nelle aziende italiane.

L’art. 30 comma 5, effettivamente, afferma che: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti” ma i congressisti e i pubblicisti che lo citano si dimenticano sempre che il Comma 5 è lungo più di qualche riga, non una.

Infatti, il Comma 5 prosegue affermando: “a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

Il che significa che un panettiere che lavora da solo e fa solo scontrini fiscali non deve tenere un registro delle attività di trattamento. Ma un’azienda che produce farina e che ha 249 dipendenti sì. Come mai? Molto semplicemente perché i dipendenti possono essere iscritti ad un sindacato e il titolare dell’azienda potrebbe tener traccia della loro appartenenza per motivi legittimi, perché per fare la busta paga è costretto a conoscere i giorni di malattia o eventualmente a trattare certificati medici in modo non occasionale ma sistematico.

In sostanza, non è per niente scontato che un’azienda con meno di 250 dipendenti sia esonerata dal tenere il registro delle attività di trattamento. Anzi, è talmente alta la probabilità che tratti dati personali di cui all’art. 9 e 10 del Regolamento (e che lo faccia con regolarità), da poter affermare con una certa sicurezza che praticamente quasi tutte le aziende siano tenute a redigerlo e tenerlo aggiornato.

Con una leggera deroga, però. Come specificato dal Comitato Europeo per la Protezione dei Dati Personali, le organizzazioni con meno di 250 dipendenti possono limitare il registro ai soli trattamenti di dati di cui agli artt. 9 e 10 del Regolamento.

Fra l’altro è più che doverosa una precisazione: il Regolamento è stato tradotto nelle restanti 23 lingue dell’Unione Europea. In italiano la parola “persons” è stata tradotta come “dipendenti” ma, a parere di chi scrive, è un grossolano errore di traduzione con conseguenze tragiche. La frase “an organisation employing fewer than 250 persons” è traducibile, letteralmente, come “un’organizzazione che impiega meno di 250 persone”.

Quindi un’organizzazione che abbia 220 dipendenti e 31 collaboratori a P.IVA che operano regolarmente in struttura (pensiamo, ad esempio, ad un grande centro diagnostico o a una casa di cura), a parere di chi scrive, non è considerabile “an organisation employing fewer than 250 persons”, e quindi non beneficia della deroga concessa dal Comma 5.

Il GDPR solo nelle organizzazioni con più di 250 dipendenti

Garantisce chi scrive che questa frase è più ricorrente di quanto si possa immaginare; non solo fra i non addetti ai lavori, ma anche fra coloro che si firmano “Consulenti Privacy” o addirittura “DPO”.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Non vi è dubbio alcuno che tale frase sia sintomatica della deregulation che vive il settore.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5