Il Garante per la protezione dei dati personali, con il comunicato dell’ 8 ottobre 2018, ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento UE n. 679/2016 (di seguito “GDPR”).
In particolare, nelle FAQ, l’Autorità di controllo chiarisce alcuni aspetti, qui di seguito riproposti e trattati.
Cos’è il Registro delle attività di trattamento?
Il Registro delle attività di trattamento è uno degli adempimenti principali del titolare e del responsabile del trattamento.
Come specificato dall’ art. 30 GDPR consiste in un documento che raccoglie tutte le informazioni relative al trattamento dei dati effettuato dal titolare e dal responsabile, se nominato, nell’ambito della propria azienda.
Quale funzione ha?
Il Registro svolge principalmente una funzione di controllo. Fornisce un quadro complessivo di tutte le operazioni svolte all’interno della organizzazione aziendale nelle quali vengano trattati dati. Tale strumento diventa indispensabile per ogni attività di valutazione o analisi del rischio ed è dunque preliminare rispetto a tali attività.
Rappresenta uno dei principali elementi di accountability del titolare.
Quale forma deve avere?
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Chi è tenuto a redigerlo?
Il Registro deve essere redatto da tutte quelle imprese o organizzazioni con almeno 250 dipendenti. Nei casi in cui il trattamento effettuato possa presentare rischi per i diritti e le libertà delle persone, ovvero il trattamento non sia occasionale e riguardi particolari categorie di dati inclusi quelli relativi a condanne penali e a reati tale obbligo sarà esteso anche alle aziende con un numero inferiore di dipendenti.
Fra i dati ritenuti “particolari” dal dato normativo si rinvengono, senza dubbio, i dati “sensibili”, ovvero sanitari, giudiziari, ma anche dati che concernono le convinzioni religiose, i dati genetici, i dati sull’origine razziale o etnica, le opinioni politiche, etc. In pratica tutte quelle informazioni che identificano un soggetto.
In considerazione di quanto precisato, saranno tenuti all’obbligo di redazione del registro – a titolo esemplificativo – anche gli esercizi commerciali con almeno un dipendente, come bar, ristoranti, parrucchieri, estetisti, odontotecnici, tatuatori; i liberi professionisti con almeno un dipendente, quali avvocati, medici, commercialisti, notai, farmacisti, etc.; i condomini, le associazioni, le fondazioni, i comitati qualora trattino particolari categorie di dati.
Questo elenco non è certamente esaustivo. Il Garante raccomanda inoltre la redazione anche ai titolari e responsabili del trattamento che non rientrano nel dettato della norma, al fine di avere contezza dei trattamenti svolti ma anche per agevolare i controlli da parte dell’autorità di controllo.
Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento delle categorie di dati sopra individuate.
Al fine di semplificare il rispetto degli adempimenti previsti, il Garante ha pubblicato 2 modelli di registro semplificato, rispettivamente:
- Modello di “registro semplificato” delle attività di trattamento del titolare per PMI
- Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI
Quali informazioni deve contenere?
Il GDPR (art. 30) individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento.
- Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1
La lettura della norma impone delle osservazioni.
Per quanto riguarda le “finalità del trattamento” che si presume sia diversa per ciascuna categoria di dati, sarebbe opportuno indicare anche la base giuridica sulla quale si fonda il trattamento stesso, alla stregua di quanto disposto all’ art. 6 (par. 3) del Regolamento.
Analogo discorso per il trattamento di “categorie particolari di dati”, per le quali pare opportuno indicare quale condizione consente il suo trattamento, come previste all’ art.9 (par. 2) GDPR. Infine per il trattamento di dati relativi a condanne penali e reati, occorre riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’ art. 10 del GDPR.
Con riferimento alla “categorie di destinatari a cui i dati sono stati o saranno comunicati” si precisa che dovranno essere indicati non solo i titolari a cui saranno comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), ma anche i responsabili e sub-responsabili del trattamento che avranno a loro volta ottenuto gli stessi dati. La finalità principale risiede nell’avere contezza effettiva di tutti soggetti esterni che tratteranno i dati trasmessi.
Rispetto ai “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento. Qualora ciò non sia possibile, potrà essere utile fare riferimento a norme di legge, prassi consolidate di settore, etc. che aiutino ad identificare il termine massimo di conservazione dei dati trattati.
Per la “descrizione generale delle misure di sicurezza” dovranno essere indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’ art. 32 GDPR. A tal fine si puntualizza che sarà cura del titolare valutare quali precauzioni siano più idonee in relazione al caso concreto e rispetto ai rischi che effettivamente si possono presentare. L’elenco non deve necessariamente essere esaustivo purché fornisca un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte.
Ciò detto, nulla vieta ad un titolare o responsabile di inserire ulteriori informazioni se lo ritenga opportuno, in ottica della complessiva valutazione di impatto dei trattamenti svolti.
Come deve essere conservato ed aggiornato?
Il registro è un documento di censimento pertanto deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti effettuati dal titolare o responsabile. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel registro, dando conto delle avvenute modifiche.
Il registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.
Cos’è il registro del responsabile?
Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 GDPR).
- Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie di trattamenti effettuati per conto di ogni titolare del trattamento
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Il responsabile del trattamento può agire anche per conto di più titolari, in questo caso le informazioni riportate nel registro dovranno riguardare specificatamente ciascun titolare e per tale scopo solitamente il registro viene diviso in sezioni.
Per la “descrizione delle categorie di trattamenti effettuati” il responsabile potrà far riferimento a quanto contenuto nel proprio contratto di nomina, come previsto dall’ art. 28 GDPR.
VP