Registro dei Trattamenti

L’art.30 del Regolamento Europeo in materia di protezione dei dati personali, pone l’accento su una delle novità e, allo stesso tempo, uno degli adempimenti più importanti riguardanti le attività di trattamento dei dati personali: il Registro dei Trattamenti. Senza voler scendere nei dettagli sul contenuto di tale registro, si cercherà nell’articolo di sottolineare come la redazione dello stesso non debba essere considerata semplicemente come un nuovo adempimento burocratico, ma come uno strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a permettere alle aziende di rispondere ad una pluralità di finalità, imprescindibili per l’adeguamento al GDPR.

Cos’è il Registro dei Trattamenti?

Il nuovo Regolamento Europeo 2016/679 (d’ora in poi GDPR) prevede, all’art. 30, un importante strumento di Compliance aziendale: il registro attività di trattamento dei dati personali. Si tratta di una delle principali novità introdotte dal GDPR per una gestione più efficace della Data Protection nell’ottica di garantire l’Accountability (Responsabilità).
Il Registro dei Trattamenti è uno strumento del tutto nuovo nel panorama della privacy ed è il punto di partenza fondamentale per la conformità in materia di protezione dei dati personali. Secondo il principio di Accountability, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati al fine di garantire una adeguata protezione.
L’Autorità Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro. In ogni caso, anche se tale registro non verrà predisposto, è necessario che i titolari e i responsabili del trattamento si impegnino per effettuare in altro modo una esatta individuazione dei trattamenti posti in essere e delle loro caratteristiche principali.

Forma, Contenuto e Soggetti Obbligati alla tenuta del Registro Privacy

Contenuto e Soggetti Obbligati

Il registro privacy può essere tenuto, oltre che in formato cartaceo, anche in formato elettronico dal titolare del trattamento dei dati e dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par.4 dell’art. 30:

“su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

Per quanto concerne i soggetti obbligati alla tenuta del registro dei trattamenti, come risulta dall’art. 30, paragrafi 2 e 3, essi sono tanto il titolare quanto il responsabile del trattamento o, se presenti, i loro rappresentanti (per approfondimenti consultare l’articolo riguardo il DPO – Data Protection Officer). Su entrambi grava, pertanto, uno specifico dovere, tenendo però conto che, dal punto di vista del contenuto, nel caso in cui il registro sia tenuto direttamente dal titolare del trattamento, o dal suo rappresentante, avrà una portata più ampia; invece qualora esso sia tenuto dal responsabile del trattamento, o dal suo rappresentante, dovrà indicare obbligatoriamente tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento.
Brevemente, secondo l’art. 30, il registro dovrebbe contenere i dati del soggetto che effettua il trattamento oltre ad esplicitare le finalità del trattamento, la descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, i trasferimenti di dati personali verso paesi terzi e la loro identificazione (se presenti), i termini ultimi previsti per la cancellazione delle diverse categorie di dati, nonché una descrizione delle attività e delle misure di sicurezza adottate. Questo sopra descritto rappresenta il contenuto minimo espresso dal legislatore.

Chi è Obbligato alla redazione del Registro?

L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o dati personali relativi a condanne penali e a reati di cui all’articolo 10.” 

Obbligatorietà-Registro

Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori:

  • Diffondere informazione, consapevolezza e condivisione interna;
  • Costituire uno strumento operativo di lavoro mediante il quale censire, in maniera ordinata, le banche dati per assicurare un efficace ciclo di gestione dei dati;
  • Essere lo strumento di pianificazione e controllo della politica della sicurezza di dati;
  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di Accountability.

In conclusione, una corretta implementazione del registro delle attività di trattamento consente di avere un supporto importante nell’efficace gestione dei dati personali. Non costituisce un nuovo adempimento burocratico ma è uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per ogni valutazione e analisi del rischio.

Le informazioni contenute nel Registro dei Trattamenti vanno aggiornate?

Aggiornamento-Registro

Le informazioni presenti all’interno del Registro delle Attività di Trattamento devono essere periodicamente aggiornate ogniqualvolta si verifichino rilevanti cambiamenti all’interno dell’organizzazione, in quando tali cambiamenti devono riflettere la situazione attuale in azienda relativamente al trattamento dei dati personali. Non è pensabile che questa operazione possa essere condotta sporadicamente o soltanto una volta nel corso dell’attività aziendale, poiché il registro deve essere considerato come un documento che vive con l’azienda e con le sue operazioni. Questo comporta che dovrebbero essere pianificati e condotti audit periodici sui dati personali trattati (ad esempio una volta ogni sei mesi) per verificare che la situazione sia rimasta effettivamente la stessa e garantire, così, sia che la documentazione resti sempre aggiornata, sia la Compliance al GDPR.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.


1 commento

DPIA: la Data Protection Impact Assessment prevista dall’articolo 35 del GDPR - Blog · 11 Settembre 2018 alle 17:05

[…] Il WP29 ritiene che maggiore è il numero dei criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà dell’interessato e, di conseguenza, che sia necessario effettuare una DPIA. Per contro, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato un trattamento tale da non “presentare un rischio elevato”. In questo caso, il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d’impatto sulla protezione dei dati. Inoltre, secondo il principio di Accountability, il titolare del trattamento deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità che includa, tra l’altro, anche le finalità del trattamento, una descrizione delle categorie di dati e di destinatari e una descrizione generale delle misure di sicurezza tecniche e organizzative (come abbiamo approfondito nell’articolo riguardante il Registro Trattamenti). […]

Lascia un commento

Segnaposto per l'avatar

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *