Come abbiamo spiegato nell’articolo sul GDPR, il regolamento europeo relativo al trattamento e alla protezione dei dati, sono emersi nuovi adempimenti ai quali le aziende devono sottostare per adeguare la loro attività agli obblighi in materia di privacy.
Tra gli adempimenti previsti dalla normativa europea, è stato introdotto l’obbligo di redigere un registro delle attività di trattamento svolte sotto la responsabilità dell’azienda. Ma di cosa si tratta? In quest’articolo vediamo cos’è il registro dei trattamenti, per chi è obbligatorio, quali informazioni deve contenere e come redigerlo per rispettare le disposizioni del GDPR.
Cos’è?
Il registro dei trattamenti è un documento che racchiude le principali informazioni in materia di trattamento dei dati, relative sia al titolare del trattamento (nome, dati personali, rappresentante), che al trattamento stesso in generale (finalità del trattamento, descrizione delle categorie di dati personali, termini previsti per la cancellazione delle categorie di dati).
Il registro delle attività di trattamento è disciplinato dall’articolo 30 del regolamento (UE) 2016/679 (meglio conosciuto come GDPR), che prevede l’obbligo di tenuta del registro alle aziende e organizzazioni con più di 250 dipendenti.
Questo documento deve essere costantemente aggiornato e, se richiesto dal Garante, deve essere esibito.
Quando è obbligatorio?
Secondo l’art. 30 del GDPR, le imprese o organizzazioni che hanno almeno o più di 250 dipendenti hanno l’obbligo di istituire il registro delle attività di trattamento.
Apparentemente sembrerebbe che questo obbligo non riguardi le imprese/organizzazioni con meno di 250 dipendenti, ma attenzione! Esistono alcune situazioni eccezionali in cui, anche se l’impresa non raggiunge 250 dipendenti, il titolare avrà comunque l’obbligo di istituire il registro. Questo accade nelle seguenti ipotesi alternative:
- nel caso in cui il trattamento che le organizzazioni effettuano possa presentare un rischio per i diritti e le libertà dell’interessato;
- nel caso in cui il trattamento non sia occasionale;
- nel caso categorie particolari di dati (come quelli art 9), relativi a origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale;
- nel caso in cui il trattamento abbia ad oggetto dati personali relativi a condanne penali e reati (art 10).
Citiamo subito qualche caso pratico di soggetti che sono obbligati alla tenuta del registro delle attività di trattamento, pur avendo meno di 250 dipendenti.
Per esempio, sono obbligati tutti gli esercizi commerciali il cui trattamento dati non sia occasionale, i liberi professionisti che trattano dati sanitari dei clienti (come: medici in generale, osteopati, fisioterapisti, odontotecnici, ottici, estetisti, parrucchieri, tatuatori), che trattano categorie di dati particolari diversi dai dati sanitari (come: associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, sull’orientamento sessuale, politico o religioso) o che trattano dati relativi a condanne o reati (come: avvocati).
Come avrete capito, in questi casi l’obbligo di redigere il registro dei trattamenti esiste anche se l’azienda/organizzazione non raggiunge i 250 dipendenti.
Quali informazioni deve contenere il registro dei trattamenti?
Il registro dei trattamenti è uno strumento essenziale per la raccolta delle informazioni relative al trattamento dei dati e prevede che ogni titolare del trattamento e il suo eventuale rappresentante lo compilino. Infatti, dobbiamo ricordare che soggetti all’obbligo di tenuta del registro sono sia il titolare sia il responsabile del trattamento (in questo secondo caso, il registro deve contenere indicazione delle attività di trattamento svolte per conto del titolare).
Vediamo nel dettaglio quali informazioni deve contenere il registro dei trattamenti per rispettare i requisiti introdotti dal GDPR:
Il registro tenuto dal titolare del trattamento deve contenere:
- il nome e i dati di contatto del titolare del trattamento, del responsabile del trattamento e, se nominato, del responsabile della protezione dei dati (DPO);
- le finalità del trattamento;
- la descrizione delle categorie di utenti e dei dati trattati;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
- l’eventuale trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, inclusa una documentazione relativa alle misure di sicurezza adottate;
- ove possibile, i termini previsti per la cancellazione delle varie categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Mentre, il registro tenuto dal responsabile del trattamento deve contenere:
- il nome e i dati di contatto del titolare del trattamento e degli ulteriori responsabili del trattamento che agiscono per conto suo e, se nominato, del responsabile della protezione dei dati (DPO);
- le categorie di trattamenti effettuati per conto di ciascun titolare del trattamento;
- l’eventuale trasferimento di dati personali verso un paese extra UE, indicando il paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate;
- ove possibile, i termini previsti per la cancellazione delle varie categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Come redigere il registro dei trattamenti?
Ora che abbiamo compreso quali informazioni deve contenere, vediamo come redigere il registro dei trattamenti.
Innanzitutto, il registro deve essere tenuto in forma scritta. È consentito sia il formato cartaceo che elettronico. Tuttavia, considerando che come dicevamo deve essere continuamente aggiornato, il formato elettronico risulta sicuramente più comodo!
Oltre a ciò, affinché sia in regola, il registro deve contenere la data della prima iscrizione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e la data relativa all’ultimo aggiornamento. Queste informazioni devono essere ben visibili e verificabili dall’autorità.
In conclusione
In generale, al di là dei casi di obbligatorietà della tenuta del registro, il Garante raccomanda la compilazione del registro a tutti i titolari e responsabili del trattamento in quanto strumento utile che permette di fornire un quadro completo e aggiornato dei trattamenti svolti e delle informazioni relative a questi.
Nella pratica, la compilazione del registro dei trattamenti può essere gestita dal DPO (o responsabile della protezione dei dati) che, grazie alla sua elevata competenza in materia giuridica e di privacy, può redigere e aggiornare il documento correttamente. Il nostro team di esperti – specializzato in materia di GDPR e Privacy – può aiutarti e seguirti durante la stesura di questo documento, così da rendere l’operato della tua azienda conforme alle direttive europee vigenti.