Da chi deve essere compilato il registro dei trattamenti

Il registro delle attività di trattamento è un documento obbligatorio per molte aziende, per adempiere agli obblighi previsti dal GDPR.

Nello specifico, è l'art. 30 del Regolamento Europeo 679/2016 a prevedere, tra gli adempimenti del titolare e del responsabile del trattamento dei dati, la tenuta di tale registro.

Strumento contenente le principali informazioni sulle operazioni di trattamento dei dati svolte dall’impresa, esso risulta fondamentale non solo per un'eventuale supervisione del Garante per la Privacy, ma anche per avere un quadro sempre aggiornato dei trattamenti in essere.

Il registro delle attività di trattamento costituisce uno dei principali elementi di accountability del titolare (novità introdotta dal regolamento), in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. 

Il registro deve avere forma scritta (anche elettronica) e va esibito, su richiesta, al Garante. In questo articolo vedremo:

• quando è obbligatorio;
• quali informazioni vanno inserite;
• conservazione del registro dei trattamenti.

Registro delle attività di trattamento: quando è obbligatorio e chi deve redigerlo

In generale, tutti i titolari e responsabili del trattamento sono tenuti a redigerlo. A livello normativo, tuttavia, i soggetti obbligati per legge a redigere il registro delle attività sono:

• imprese o organizzazioni con almeno 250 dipendenti;
• titolari o responsabili che effettuano trattamenti potenzialmente rischiosi (anche con rischio non elevato) per i diritti e le libertà dell'interessato. Sono comprese anche le aziende o le organizzazioni con meno di 250 dipendenti;
• titolari o responsabili che effettuano trattamenti non occasionali (incluse le aziende o le organizzazioni con meno di 250 dipendenti);
• titolari o responsabili (incluse le aziende o le organizzazioni con meno di 250 dipendenti) che effettuano trattamenti di particolari categorie di dati citate all’articolo 9, paragrafo 1, del GDPR (dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici volti a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale di una persona) o quelli relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.

Alcuni esempi di attività soggette all'obbligo di redazione del registro sono:

• esercizi con o senza dipendenti che trattano dati sanitari dei clienti (come parrucchieri, estetisti, ottici, studi dentistici odontotecnici, ecc);
• liberi professionisti che trattano dati sanitari di clienti o dipendenti dei clienti o dati relativi a condanne penali o reati (ad esempio notai, commercialisti, avvocati, fisioterapisti, farmacisti, osteopati, medici in generale);
• associazioni, fondazioni e comitati che trattano “categorie particolari di dati” e/o dati relativi a condanne penali o reati (ad esempio organizzazioni di tendenza; associazioni a tutela di soggetti “vulnerabili” come malati, persone con disabilità, ex detenuti ecc; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso; associazioni sportive con riferimento ai dati sanitari trattati);
• condomìni che trattano “categorie particolari di dati” (ad esempio, delibere per interventi volti al superamento e abbattimento delle barriere architettoniche o richieste di risarcimento danni che comprendono spese mediche per sinistri avvenuti all’interno dei locali condominiali);
• società hw/sw che trattano dati personali di clienti in modo non occasionale.

In ogni caso, imprese e organizzazioni che hanno meno di 250 dipendenti e che sono obbligate alla redazione e tenuta del registro, possono circoscrivere l’obbligo alle sole attività specifiche di trattamento elencate qui sopra.

Registro trattamento dei dati personali: come compilarlo

Nelle FAQ pubblicate dal Garante per la Privacy, viene ripreso quanto presente all'art.30 (paragrafi 1 e 2) del Regolamento Generale sulla Protezione dei Dati, per chiarire come compilare il registro dei trattamenti.

Quali sono, dunque, i contenuti da inserire? Eccoli di seguito:

• nel campo “finalità del trattamento”, oltre all'indicazione delle stesse, è opportuno indicarne anche la base giuridica e, in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni citate all’art. 9, par. 2, del GDPR. Anche per trattamenti di dati relativi a condanne penali e reati, va riportata la specifica normativa (nazionale o europea) che ne autorizza il trattamento ai sensi dell’art. 10 del GDPR;
• nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” vanno indicate le tipologie di interessati (ad esempio clienti, fornitori, dipendenti) e quelle dei dati personali oggetto del trattamento (ad esempio dati anagrafici, sanitari, biometrici, dati, relativi a condanne penali o reati, ecc);
• nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” vanno riportati, anche solo per categoria di appartenenza, gli altri titolari cui verranno comunicati i dati. È opportuno, inoltre, indicare anche gli eventuali altri soggetti (responsabili e sub-responsabili) ai quali verranno trasmessi i dati da parte del titolare;
• nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” va riportata l’informazione relativa a tali trasferimenti, insieme all’indicazione del/i Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate, ai sensi del capo V del GDPR (ad esempio, decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc);
• nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” vanno individuati i tempi di cancellazione per tipologia e finalità di trattamento. Qualora non fosse possibile stabilire a priori un termine massimo, i tempi di conservazione possono essere specificati mediante il riferimento a criteri (norme di legge, prassi settoriali) indicativi degli stessi;
• nel campo “descrizione generale delle misure di sicurezza” vanno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del GDPR (considerando, però, che l'elenco riportato costituisce una lista aperta e non esaustiva, quindi spetta al titolare, caso per caso, la valutazione finale riguardante il livello di sicurezza adeguato ai rischi specifici). Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, con la possibilità di rinviare a documenti esterni per una valutazione più dettagliata.

Nel registro, comunque, può essere inserita e aggiunta anche qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare.

Registro trattamenti GDPR: conservazione e aggiornamento

Come anticipato, il registro delle attività di trattamento può essere compilato sia in formato cartaceo che elettronico.

A prescindere da quello scelto, tuttavia, è sempre necessario riportare delle annotazioni (in modo che siano sempre verificabili) che indichino:

• la data di prima istituzione del registro (o di prima creazione di ogni singola scheda per ogni tipologia di trattamento);
• la data dell'ultimo aggiornamento.

Fondamentale, infine, che il registro dei trattamenti sia tenuto sempre aggiornato, per avere un quadro fedele dei trattamenti dei dati effettivamente applicati. Di conseguenza, ogni cambiamento inerente modalità, finalità, categorie di dati e/o di soggetti interessati dev’essere subito inserito nel registro.

Ai seguenti link puoi trovare:

• modello semplificato del registro delle attività di trattamento del titolare, per PMI;
• modello semplificato del registro delle attività di trattamento del responsabile, per PMI.

Per approfondire, qui puoi leggere le FAQ sul registro delle attività di trattamento, pubblicate dal Garante per la Privacy.

Se vuoi essere certo di rispettare gli obblighi di legge in ambito GDPR e trattamento dei dati, contattaci oggi stesso e richiedi la consulenza di un nostro esperto.

Scritto da: Chiara Merci Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.

Quando va compilato il registro delle attività di trattamento?

Chi non ha l'obbligo di redigere il registro dei trattamenti?

Chi ha l'obbligo di mantenere il registro dei trattamenti GDPR?

Chi deve redigere il GDPR?