Ai sensi dell’art. 30 del regolamento UE il titolare e il responsabile del trattamento devono tenere i registri delle attività di trattamento effettuate.
L’adempimento in questione è funzionale alla definizione delle misure di sicurezza dei trattamenti.
I contenuti del registro sono fissati, come detto, nell’art. 30 (indicazione del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali etc.).
Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Si tratta, perciò, di uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio legato al trattamento dei dati personali e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta o elettronica e deve essere esibito su richiesta al Garante.
La redazione del registro è tenuta da tutti i titolari e i responsabili del trattamento.
Chi è obbligato alla redazione del registro ?
I soggetti obbligati sono così individuabili:
-
- imprese o organizzazioni con almeno 250 dipendenti;
-
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti), che effettui trattamenti che possano presentare un rischio – anche non elevato –, per i diritti e le libertà dell’interessato;
-
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti), che effettui trattamenti non occasionali;
-
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti), che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
-
- Il Garante ha poi elencato i soggetti tipici che sono interessati al Registro.
Rientrano nella categoria delle “organizzazioni” anche le associazioni, fondazioni e i comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati; le associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; le associazioni sportive con riferimento ai dati sanitari trattati; i partiti e i movimenti politici; i sindacati; le associazioni e i movimenti a carattere religioso.
Inoltre, si fa riferimento ad esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.).
Tra i liberi professionisti si individuano coloro con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale).
Infine, a tenere il registro è tenuto anche anche il condominio che tratti “categorie particolari di dati”, come le delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, o le richieste di risarcimento danni comprensive di spese mediche relative a sinistri avvenuti all’interno dei locali condominiali.
Tuttavia, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto il registro è uno strumento che, fornendo piena contezza dei tipi di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Sono esentati dall’obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato possa presentare un rischio (anche non elevato) per i diritti e le libertà degli interessati, non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.
Quali sono le informazioni contenute nel registro delle attività di trattamento ?
Il registro deve elencare una serie di informazioni.
In primis il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO).
Nel registro devono essere riportate anche le finalità del trattamento, distinte per tipologia, una descrizione delle categorie di interessati e delle categorie dei dati personali e i destinatari a cui i dati personali sono stati o saranno comunicati. Inoltre, dove applicabile e possibile, bisogna considerare i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, i termini ultimi previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile.
In quanto tale, deve essere mantenuto costantemente aggiornato, poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati e categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Il Registro deve recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.
Se la stessa persona agisce in qualità di responsabile del trattamento per conto di più clienti, dovranno essere riportate le informazioni nel registro con riferimento a ciascuno dei suddetti titolari.
In questi casi, il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce.
La redazione del registro delle attività di trattamento potrebbe avere anche scopi ulteriori:
-
- Diffondere informazione, consapevolezza e condivisione interna;
-
- Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
-
- Si precisa che nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, il Garante ritiene che: “Il registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari e i responsabili del trattamento, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.
Il Garante si rivolge quindi a tutti i soggetti, prescindendo dalle dimensioni dell’organizzazione.
Come già indicato in precedenza, nel rispetto delle raccomandazioni del Garante, il registro delle operazioni di trattamento è, dunque, il punto di partenza fondamentale per un’azienda o un organismo pubblico per attuare qualsivoglia strategia, per la conformità in materia di protezione dei dati personali.