Il registro dei trattamenti è uno strumento fondamentale non solo per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati, ma anche per gestire la valutazione e l’analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability). Come deve essere compilato il registro? Quali informazioni deve contenere?
Principio di accountability e ruolo del Registro
L’art. 30 del GDPR (Reg. UE n. 679/2016) assegna ai Titolari e ai Responsabili del trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità.
Ciò risponde al cd. principio di responsabilizzazione o di accountability secondo cui viene affidato ai Titolari del trattamento il compito di:
- definire autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali;
- dimostrare di aver posto in essere le misure finalizzate ad assicurare l’applicazione del Regolamento.
Per porre quindi in essere qualsivoglia valutazione e analisi del rischio in materia di protezione dei dati personali, il Registro dei Trattamenti risulta essere un fondamentale strumento di lavoro per aziende e organismi pubblici.
Soggetti tenuti alla redazione del Registro
L’art. 30 del GDPR esclude dall’obbligo di tenuta del Registro dei trattamenti le organizzazioni con meno di 250 dipendenti, a patto che non effettuino trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o dati personali relativi a condanne penali e a reati”.
Diversamente, il Garante per la protezione dei dati personali invita tutti i Titolari e i Responsabili del trattamento, a prescindere dalle dimensioni dell’organizzazione, a redigere e conservare tale registro. Nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali si legge infatti che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”.
Forma e contenuto del Registro
Il Registro dei Trattamenti può essere tenuto in forma scritta o in formato elettronico e deve contenere le seguenti informazioni:
a) il nome e i dati di contatto del Titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del Titolare del trattamento e dell’eventuale responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il registro può contenere qualsiasi altra informazione che il Titolare o il Responsabile ritengano utile; si pensi alle eventuali valutazioni di impatto effettuate, all’individuazione di ulteriori referenti interni, alle modalità di raccolta del consenso, ecc.
Mantenimento del Registro nel tempo
Il Registro dei trattamenti va inteso come uno strumento di lavoro che necessita di essere aggiornato nel tempo. Una sua corretta gestione richiede impegno, quindi risulta fondamentale assegnare la redazione e l’aggiornamento di quest’ultimo ai soggetti dell’organizzazione che più sono a conoscenza delle attività di trattamento.
Su richiesta, il Titolare del trattamento o il Responsabile del trattamento e, ove applicabile, il rappresentante del Titolare del trattamento o del Responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
I principali vantaggi di una corretta tenuta del Registro
Essere dotati di una mappatura ordinata e organizzata ha molteplici vantaggi:
- consente all’organizzazione di conoscere e gestire correttamente i dati trattati evitando quindi sprechi di tempo, di risorse e trattamenti illeciti o contestazioni;
- permette di non incorrere in sanzioni amministrative pecuniarie in caso di visite ispettive.
Team Privacy CGN