Scopo del registro è tenere traccia dei trattamenti effettuati dal titolare riportandone le modalità e le misure di sicurezza adottate. Il presente contributo individua i casi in cui esso è obbligatorio, quali soggetti vi siano obbligati e la natura del suo contenuto.
Inquadramento
Il registro dei trattamenti è un documento che ha la funzione di tenere tracciadei trattamenti effettuati da parte del titolare e degli eventuali responsabili riportando anche le modalità e le misure di sicurezza adottate.
Quando è obbligatorio
Il registro è obbligatorio nei casi indicati nella seguente tabella: tale obbligo si differenzia a seconda delle dimensioni occupazionali dell'impresa (art. 30 par. 5 GDPR).
Secondo il Garante, tuttavia, il registro è opportuno e utile, a prescindere dalle dimensioni della società. Si tratta infatti di uno strumento che permette di (Com. Stampa Garante Privacy 8 ottobre 2018, FAQ Garante Privacy 8 ottobre 2018):
— avere indicazioni sul tipo di trattamenti svolti e sul rischio a cui tali trattamenti espongono la società;
— attuare meglio, con modalità semplici e accessibili a tutti, il principio di accountability;
— agevolare in modo dialogante e collaborativo l'attività di controllo del Garante.
Dimensioni dell'impresa
Obbligo di tenuta del registro
Imprese con 250 o più dipendenti
Per qualunque tipologia di trattamento effettuato
Imprese con meno di 250 dipendenti (1)
In tutti quei casi in cui il trattamento:
— presenta un rischio (2), anche non elevato, per i diritti e le libertà dell'interessato;
— non è occasionale;
— riguarda categorie particolari di dati (es. dati biometrici, genetici, sulla salute ecc.) o dati relativi a condanne penali e a reati (art. 10 GDPR).
N.B. Tali imprese possono comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l'obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (ad esempio ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro può essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento) (Com. Stampa Garante Privacy 8 ottobre 2018, FAQ Garante Privacy 8 ottobre 2018).
(1) Devono ad esempio ritenersi inclusi: esercizi commerciali o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori, ecc.) (Com. Stampa Garante Privacy 8 ottobre 2018, FAQ Garante Privacy 8 ottobre 2018).
(2) I rischi per i diritti e le libertà delle persone fisiche possono derivare da trattamenti di dati personali che comportano un danno fisico, materiale o immateriale: in particolare bisogna valutare se (considerando 75 GDPR):
— il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
— gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o viene loro impedito l'esercizio del controllo sui dati personali che li riguardano;
— il trattamento riguarda dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; oppure coinvolge aspetti personali (come ad esempio il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali);
— sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
— se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Soggetti obbligati, forma, conservazione e aggiornamento
Il titolare ed il responsabile del trattamento devono tenere ognuno un registro delle attività di trattamento svolte sotto la loro responsabilità (art. 30, par. 1 GDPR) in modo da poterlo esibire al Garante Privacy e avere un quadro aggiornato dei trattamenti per una più agevole valutazione dei rischi.
Il registro deve essere tenuto in forma scritta e va esibito al Garante in caso di verifiche. Deve essere mantenuto costantemente aggiornato e il suo contenuto deve sempre corrispondere all'effettività dei trattamenti posti in essere: qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito, dando conto delle modifiche sopravvenute (Com. Stampa Garante Privacy 8 ottobre 2018, FAQ Garante Privacy 8 ottobre 2018).
La responsabilità della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. Il registro può essere compilato in formato cartaceo o elettronico e deve in ogni caso riportare la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e quella dell'ultimo aggiornamento.
Contenuto
Il contenuto del registro è diverso a seconda che si tratti del registro tenuto dal titolare del trattamento (art. 30, par. 1 GDPR) o di quello tenuto dal responsabile del trattamento (art. 30 par. 2 GDPR), come indicato nella seguente tabella.
Contenuto del registro tenuto dal Titolare del trattamento
a) nome e dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) finalità del trattamento;
c) descrizione delle categorie di interessati e delle categorie di dati personali;
d) categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
e) se applicabile, trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale, compresa l'identificazione del Paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
f) se possibile, termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) se possibile, descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Possono essere incluse anche altre informazioni, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi).
art. 30, par. 1 GDPR
Contenuto del registro tenuto dal Responsabile del trattamento
a) nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, se applicabile, del responsabile della protezione dei dati;
b) categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) se applicabile, trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale, compresa l'identificazione del Paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
d) se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
art. 30, par. 2 GDPR
Il Garante ha fornito ulteriori precisazioni e chiarimenti in merito ai seguenti aspetti del contenuto del registro (Com. Stampa Garante Privacy 8 ottobre 2018, FAQ Garante Privacy 8 ottobre 2018):
— finalità del trattamento: oltre a indicarle dettagliatamente, distinguendo per tipologie di trattamento (ad esempio trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), è opportuno anche precisare la base giuridica del trattamento stesso. Ad esempio:
1) per i trattamenti che hanno alla base un «legittimo interesse», è opportuno che il registro riporti la descrizione del legittimo interesse concretamente perseguito, le «garanzie adeguate» eventualmente approntate nonché, se effettuata, la preventiva valutazione d'impatto posta in essere dal titolare;
2) per i trattamenti di «categorie particolari di dati», è opportuno indicare una delle condizioni previste all'art. 9, par. 2 GDPR;
3) per i trattamenti di dati relativi a condanne penali e reati, è opportuno riportare la specifica normativa (nazionale o della UE) che ne autorizza il trattamento (ai sensi dell'art. 10 GDPR);
— descrizione delle categorie di interessatie delle categorie di dati personali: è opportuno specificare sia le tipologie di interessati (ad esempio : clienti, fornitori, dipendenti) sia quelle dei dati personali oggetto di trattamento (ad esempio: dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
— categorie di destinatari a cui i dati sono stati o saranno comunicati: è opportuno riportare, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (ad esempio, gli enti previdenziali a cui devono essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, è consigliabile indicare anche gli eventuali altri soggetti ai quali, in qualità di responsabili e sub-responsabili del trattamento, siano trasmessi i dati da parte del titolare;
— trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale: oltre ad indicare il Paese terzo o l'organizzazione internazionale, è opportuno riportare anche le garanzie adottate (ai sensi dell'art. 44 e s. GDPR) per tali trasferimenti (ad esempio: decisioni di adeguatezza, norme vincolanti d'impresa, clausole contrattuali tipo, ecc.);
— termini ultimi previsti per la cancellazione delle diverse categorie di dati: è opportuno individuare e indicare i tempi di cancellazione per tipologia e finalità di trattamento (ad esempio: «in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall'ultima registrazione»). Se non è possibile stabilire a priori un termine massimo, i tempi di conservazione possono essere specificati mediante il riferimento a criteri (ad esempio : norme di legge, prassi settoriali) indicativi degli stessi (ad esempio: «in caso di contenzioso, i dati saranno cancellati al termine dello stesso»);
— descrizione generale delle misure di sicurezza: devono essere indicate le misure tecnico-organizzative adottate dal titolare del trattamento, tenendo presente che tale elenco non è esaustivo e deve essere costantemente confrontato con gli sviluppi della tecnologia e l'insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica (ad esempio, procedure organizzative interne, security policy ecc.). Infine nel registro può essere riportata qualsiasi altra informazione che il titolare del trattamento o il responsabile ritengano utile indicare (ad esempio: le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l'indicazione di eventuali referenti interni individuati dal titolare in merito ad alcune tipologie di trattamento, ecc.).
Vuoi leggere tutti i contenuti?
Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter continuare a
leggere questo e tanti altri articoli.
Sommario
Quando è obbligatorio
Soggetti obbligati, forma, conservazione e aggiornamento
