COS’E IL REGISTRO DEI TRATTAMENTI

L’art.30 del Regolamento UE n. 679/2016 prevede, tra gli adempimenti principali del Titolare e del Responsabile del trattamento la tenuta del Registro delle attività di Trattamento.

Si tratta di un documento che contiene le principali informazioni relative alle operazioni di trattamento svolte dal Titolare e dal Responsabile del Trattamento

Il Registro dei Trattamenti è espressione dell’accountability (responsabilizzazione) del Titolare/Responsabile del trattamento e costituisce l’elemento preliminare, nonché essenziale, per qualsiasi attività di valutazione o analisi del rischio.

Il Registro dei Trattamenti deve essere redatto in forma scritta, cartacea o elettronica ed è il primo documento che richiede il Garante della Privacy in caso di controllo.

CHI è TENUTO A REDIGERE IL Registro delle attività di Trattamento?

L’articolo 30 del GDPR riferisce che i Titolari del trattamento e i Responsabili devono redigere un Registro delle attività di trattamento, e in particolare il comma 5 esplicita in quali casi il registro è obbligatorio: imprese o organizzazioni con più di 250 dipendenti, il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Per meglio definire quali soggetti rientrano in tale disposizione, il Garante Privacy, nelle sue FAQ, a titolo esemplificativo e non esaustivo, elenca i soggetti che, in ambito privato sono tenuti all’obbligo di redazione del registro:  

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Al di fuori dei casi di tenuta obbligatoria del Registro, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che cataloga in modo dettagliato le diverse operazioni di trattamento dei Dati personali effettuate da un soggetto, fornendo una completa ricognizione e valutazione dei trattamenti individuati.

Quali informazioni deve contenere?

Il Regolamento illustra nel dettaglio le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e nel registro del responsabile (art. 30, par. 2 del GDPR).

In particolare, possono essere così riassunte: 

  • il nome e i dati di contatto del Titolare, del Responsabile e del DPO;
  • le finalità del trattamento e la loro base giuridica.
  • le categorie di interessati e di dati personali coinvolti nel trattamento; 
  • le categorie di destinatari a cui saranno comunicati i dati;
  • il trasferimento, dei dati personali verso paesi extra UE e le relative garanzie adeguate;
  • i tempi di cancellazione previsti; 
  • le misure di sicurezza tecnico-organizzative adottate

Modalità di conservazione

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, nonché le relative misure di sicurezza, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro deve recare, in maniera verificabile, la data della sua prima istituzione prima creazione unitamente a quella dell’ultimo aggiornamento.