Il "Registro delle attività di trattamento" è uno dei principali adempimenti a carico del Titolare del trattamento dei dati personali ed è descritto nell'art. 30 del G.D.P.R.
È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal Responsabile del trattamento.
Il Registro costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, deve essere esibito su richiesta al Garante, deve essere costantemente aggiornato e deve anche recare "in maniera verificabile" sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.
Chi è tenuto alla redazione del Registro
Nell'ambito privato sono obbligati alla redazione del Registro:
- Imprese od organizzazioni con almeno 250 dipendenti
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati particolari (sensibili) o giudiziari.
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati in maniera stabile e non occasionale.
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) il cui trattamento possa presentare un rischio (anche non elevato) per i diritti e le libertà degli interessati.
Per impresa si intende qualunque tipo di azienda, anche individuale, mentre tra le organizzazioni rientrano anche le associazioni, le fondazioni e i comitati.
Il requisito del trattamento di dati particolari, quindi, fa scattare automaticamente l'obbligo di redazione del Registro per ogni impresa od organizzazione che abbia anche solo un dipendente.
In base al parere dell'EDPB (European Data Protection Board, o Comitato europeo per la protezione dei dati), inoltre, il requisito di non occasionalità estende l'obbligo del Registro, ad esempio, anche ai liberi professionisti trattano dati personali altrui in maniera non occasionale o ad un sito web con un form di contatti.
Le FAQ sul Registro delle attività di trattamento, emanate l'8 ottobre 2018 dal Garante italiano per la protezione dei dati personali, fanno alcuni altri esempi di obbligo di redazione del Registro:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Quali informazioni deve contenere il Registro
Il Registro deve contenere tutta una serie di informazioni obbligatorie, tra le quali i recapiti e contatti del Titolare del trattamento, dei responsabili e dell'eventuale DPO, la descrizione delle finalità (e delle basi giuridiche) del trattamento, delle categorie degli interessati, dei destinatari oggetto di comunicazione dei dati personali, delle misure adeguate di sicurezza tecniche ed organizzative adottate nella protezione dei dati, dei termini o criteri utilizzati nella cancellazione dei dati, oltre che i criteri utilizzati nei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale.
Il G.D.P.R. prevede inoltre che anche i Responsabili del trattamento, nominati dal Titolare, (ad esempio il commercialista o il consulente del lavoro) debbano tenere un registro simile in relazione alle attività svolte per conto del titolare, con contenuti simili a quanto sopra descritto.
Come si vede dunque, la stesura e l'aggiornamento del Registro delle attività di trattamento dei dati diventa quasi sempre obbligatoria o comunque è fortemente consigliata, indipendentemente dal tipo di impresa od organizzazione, dalla sua dimensione o dal tipo di attività svolta.
------
(22/01/19, Luigi Morganti - specialista privacy e data protection)
Per info e contatti: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Short url: tinyurl.com/registrotrattamenti
