Registro dei trattamenti: i chiarimenti del garante

In considerazione delle esigenze di semplificazione a quanto previsto dal Regolamento Europeo in favore delle micro, piccole e medie imprese, il il Garante per a protezione dei dati personali si è espresso con un proprio comunicato stampa pubblicato in data 8 ottobre 2018.

Il Garante ha messo a disposizione sul proprio sito alcuni chiarimenti legati ad uno degli adempimenti cardine previsti dalla normativa, vale a dire il Registro dei Trattamenti.

Tale documento consente all’azienda non solo di dimostrarsi conforme all’obbligo normativo ma anche di effettuare un’attività di riorganizzazione dei propri processi aziendali individuando le tipologie di trattamenti effettuati.

Riportiamo qui di seguito quanto specificato dal Garante:

Chi è tenuto a redigere il Registro dei trattamenti

Sono tenuti a redigere il Registro tutti i Titolari e i Responsabili del trattamento, in particolare, in ambito privato, così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque Titolare o Responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’Interessato;
  • qualunque Titolare o Responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque Titolare o Responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Rientrano altresì nella categoria “organizzazioni” anche le associazioni, fondazioni e i comitati.

Sono tenuti pertanto alla redazione:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (es. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989 etc.).

Il Garante infine precisa che potranno beneficiare di alcune misure di semplificazioni, tutte quelle imprese e organizzazioni con meno di 250 dipendenti, che rientrano nella suddetta lista.

Inoltre invita caldamente la tenuta del Registro, anche al di fuori dei casi obbligatori, in quanto strumento che contribuisce a meglio attuare il principio di accountability e, al contempo, ad agevolare l’attività di controllo del Garante stesso.

 

Quali informazioni deve contenere

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD):

  • finalità del trattamento, avendo cura di indicarne anche la base giuridica;
  • categorie di interessati e categorie di dati personali;
  • categorie di destinatari a cui i dati sono stati o saranno comunicati;
  • trasferimenti di dati personali verso un Paese terzo o un’Organizzazione Internazionale;
  • termini previsti per la cancellazione delle diverse categorie di dati;
  • descrizione generale delle misure di sicurezza adottate per la protezione dei dati in oggetto.

 

Quali sono le modalità di conservazione e di aggiornamento

Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Pertanto dovrà recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento (recando annotazioni del tipo scheda creata in data XY o ultimo aggiornamento avvenuto in data XY).

 

Registro del responsabile

Il responsabile del trattamento tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare (art. 30.2 GDPR).

Nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti Titolari, le informazioni dovranno essere riportate nel Registro con riferimento a ciascuno dei suddetti Titolari. In questi casi il Responsabile dovrà suddividere il Registro in tante sezioni quanti sono i Titolari per conto dei quali agisce, rinviando a schede o banche dati anagrafiche dei clienti nel caso in cui l’attività di puntuale indicazione e di continuo aggiornamento risulti eccessivamente complessa a causa dell’elevato numero di Titolari. Per la descrizione delle categorie di trattamenti effettuati, il Responsabile potrà far riferimento a quanto contenuto nel contratto di designazione a Responsabile che, ai sensi dell’art. 28 del GDPR, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo.

Parimenti, in caso di sub-responsabile, il Registro dei trattamenti effettuati da quest’ultimo, potrà far riferimento a quanto contenuto nel contratto stipulato tra lo stesso e il Responsabile, ai sensi del suddetto art. 28 ai paragrafi 2 e 4.

Per le Faq complete e per i modelli di Registro semplificato per il Titolare e Responsabile del trattamento di Piccole e Medie Imprese (PMI) si rimanda al sito del Garante, raggiungibile al seguente link www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento