FAQ sul registro delle attività di trattamento (per le PMI)


Il riferimento nel regolamento

“Articolo 30

Registri delle attività di trattamento

  1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
  2. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  3. le finalità del trattamento;
  4. una descrizione delle categorie di interessati e delle categorie di dati personali;
  5. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  6. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  7. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  8. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
  9. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
  10. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  11. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  12. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  13. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
  14. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
  15. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
  16. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

 

Le FAQ del Garante per la Protezione dei Dati

Il Garante ha ritenuto necessario redigere un breve elenco di linee guida per la stesura dei registri delle attività del trattamento. Sebbene l’articolo 30 sia particolarmente esaustivo, con le FAQ pubblicate sul sito l’8 ottobre 2018, ha voluto specificare:

  • Cos’è un registro delle attività di trattamento;
  • Chi è tenuto a redigerlo;
  • Quali informazioni deve e quali può contenere;
  • Quali sono le modalità di conservazione e di aggiornamento;
  • Differenze fra il registro del responsabile e registro del titolare del trattamento.

Ha inoltre predisposto i dei modelli di esempio relativi al registro dei trattamenti del titolare e al registro dei trattamenti (in caso di PMI). https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

Cos’è un registro delle attività di trattamento?

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

 

Chi è tenuto a redigerlo?

Oltre a quanto già indicato nell’articolo 30, il Garante fornisce alcuni esempi di attività che sono dovute a redigere il registro delle attività di trattamento:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento.

Quali informazioni deve e quali può contenere?

In riferimento all’articolo 30, le informazioni che un registro DEVE contenere sono:

  • Finalità del trattamento;
  • Base giuridica;
  • Categorie dei soggetti interessati;
  • Categorie di dati dei soggetti interessati;
  • Categorie di destinatari a cui sono stati o saranno comunicati i dati (per esempio, enti previdenziali, commercialisti ecc…). Questa indicazione è utile per avere indicazione dei responsabili esterni di quello specifico trattamento.
  • Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale. Sarà necessario indicare qui se i dati sono stati o verranno trasmessi al di fuori dell’UE e secondo quali garanzie è stato effettuato il trasferimento (Decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali ecc…)
  • Tempi di conservazione. Occorrerà indicare i tempi e le modalità di conservazione per tipologia e finalità del trattamento.
  • Misure di sicurezza. Indicazione delle misure si sicurezza adottate dal titolare ai sensi dell’art. 32 del GDPR per attenuare i rischi afferenti al trattamento. Questa sezione sarà particolarmente “dinamica” poiché sarà cura del titolare aggiornare le misure di sicurezza e verificarne l’efficacia.

Il Registro dei trattamenti NON HA UNA STRUTTURA PREDEFINITA ma può contenere altre informazioni che possono risultare utili al titolare o al responsabile, per esempio:

  • Modalità di raccolta del consenso;
  • Eventuali valutazioni d’impatto effettuate sui trattamenti;
  • Indicazione dei Referenti interni.
  • Ecc…

Modalità di conservazione e aggiornamento 

Il registro dei trattamenti è un documento dinamico che dovrà essere costantemente aggiornato dal titolare e dal responsabile del trattamento in base ai trattamenti effettivamente in essere. Ogni aggiornamento dovrà quindi essere monitorato.

Il registro potrà essere in formato cartaceo od elettronico ma, in entrambi i casi, dovrà essere indicata, su ogni trattamento, la data di creazione o di prima istituzione e quella di ultimo aggiornamento.

 

Differenze fra il registro del responsabile e registro del titolare del trattamento

Oltre a quanto già indicato nell’articolo 30 del GDPR, il Garante ha voluto specificare che:

  • nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30 dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce.
    Se il numero del titolari è particolarmente ingente e questo renda difficoltoso l’aggiornamento e la tenuta del registro, sarà possibile fare riferimento a schede o banche dati anagrafiche dei clienti (titolari del trattamento) benché questi documenti contengano tutte le informazioni richieste dall’art. 30.
  • Nel descrivere le categorie di trattamenti effettuati, è possibile fare riferimento a quanto contenuto nella lettera di designazione a responsabile del trattamento.
  • In caso di sub-responsabile,il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del GDPR.