Il Gruppo di Lavoro istituito ai sensi dell’art. 29 della Direttiva 95/46/CE (meglio noto agli operatori come “Working Party Art. 29”) ha pubblicato un Position Paper che fornisce alcuni chiarimenti in relazione all’applicazione del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation o GDPR). In particolare, il Working Party ha analizzato la portata della norma di cui all’art. 30, par. 5, GDPR, secondo cui, salve alcune eccezioni, “non si applicano alle imprese o organizzazioni con meno di 250 dipendenti” gli obblighi di tenuta dei registri: (a) delle attività di trattamento, e (b) delle categorie di attività relative al trattamento svolte per conto di un titolare del trattamento. A questo riguardo, si è precisato che tale deroga non ha carattere assoluto, essendo invero molto circoscritta e dovendosi operare un’analisi caso per caso sulla sua applicabilità alla singola realtà d’impresa (tale deroga non ha dunque operatività tour court). In ogni caso, il Gruppo di Lavoro ha sottolineato che tali registri sono strumenti molto utili per le imprese, soprattutto perché facilitano: (i) la valutazione del rischio delle attività di trattamento dei dati personali; e (ii) l’attuazione di misure di sicurezza adeguate per la salvaguardia dei dati personali, entrambi componenti fondamentali del principio di accountability, contenuto nel GDPR.