Per la privacy le dimensioni contano (ma fino ad un certo punto)
La dimensione di un’Azienda non è rilevante quando si tratta di applicabilità del GDPR. Il GDPR, infatti, trova applicazione per ogni Azienda che tratta dati personali indipendentemente dal fatto che l'azienda sia una microimpresa o una multinazionale di dimensioni ciclopiche.
La dimensione di un’Azienda non è rilevante quando si tratta di applicabilità del GDPR. Il GDPR, infatti, trova applicazione per ogni Azienda che tratta dati personali (abbiamo parlato di Dati personali in questo post) indipendentemente dal fatto che l'azienda sia una microimpresa o una multinazionale di dimensioni ciclopiche.
In base all’ambito di applicazione territoriale (ex art. 3 GDPR) infatti, se l'azienda opera nell'UE, offre beni o servizi agli interessati nell'UE o monitora il comportamento degli interessati nell'UE, si applica sempre e comunque il GDPR, indipendentemente, appunto, dalle dimensioni dell’azienda stessa. Pertanto quindi, per intenderci, anche un libero professionista negli Stati Uniti o in Asia che venda articoli artigianali fatti a mano su Internet e li spedisca in UE è soggetto al GDPR perche’ offre beni (o servizi) ai cittadini dell’UE.

Tutto cio’ premesso bisogna però notare che il regolamento prevede misure sui generis da prendere in considerazione per le micro, piccole e medie imprese.
Ricordiamo innanzitutto che la definizione di micro, piccole e medie imprese viene descritto nell’articolo 2 dell'allegato della raccomandazione 2003/361/CE della Commissione; “La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR. 2. Nella categoria delle PMI si definisce piccola impresa un'impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR. 3. Nella categoria delle PMI si definisce microimpresa un'impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di EUR.

Le micro, piccole e medie imprese vengono esplicitamente distinte da tutte le altre imprese in 3 considerando (I considerando sono delle note esplicative che il legislatore ci ha messo a disposizione per meglio comprendere il Regolamento, nel caso del GDPR i considerando sono 173 e gli articoli 99):
  • Il considerando 13 che afferma: "[…] Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. […]";
  • Il considerando 98 recita “Le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiate a elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese.”
  • Il considerando 167, infine, recita: "Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione ove previsto dal presente regolamento. […] A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese."

Analogamente la distinzione fra micro, piccole e medie imprese e tutte le altre imprese appare in 2 articoli del GDPR , il 40 (le micro, piccole e medie imprese devono essere prese in considerazione nell'elaborazione dei codici di condotta) e il 42 (le dimensioni delle aziende devono essere prese in considerazione nello stabilire le certificazioni sulla protezione dei dati). Abbiamo parlato di certificazioni GDPR anche qui.
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
- art. 40 GDPR
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
- John Smith
Le nostre personalissime conclusioni:
1) Ricordiamo che il numero di dipendenti dell’azienda non può e non deve essere l’unico indice di prescrizione dell’accountability del titolare del trattamento, fra gli altri ovviamente vanno citati la quanità e la sensibilità dei dati personali trattati.
2) Dovrebbe essere di conforto per tutti i titolari di PMI sapere che il legislatore ha voluto tenere presente, da subito, le peculiarità e le esigenze delle PMI distinguendole dalle altre Organizzazioni.