Il registro dei trattamenti (più precisamente: Registro delle attività di trattamento) è un documento importantissimo ed obbligatorio per alcune categorie di titolari del trattamento.
In questo contributo vediamo cos’è il registro dei trattamenti, a chi serve e perché il suo utilizzo aiuta a dimostrare la propria conformità al GDPR.
Cos’è il registro dei trattamenti?
Quando è obbligatorio avere il registro dei trattamenti?
Cosa deve contenere il registro dei trattamenti?
Cos’è il registro dei trattamenti?
La disciplina sul registro dei trattamenti è data dall’art. 30 e dal considerando 82 del Regolamento.
Si tratta di un documento che tiene traccia delle attività di trattamento effettuate sotto la propria responsabilità dal titolare del trattamento o dal responsabile del trattamento.
Il registro delle attività di trattamento non va pensato come qualcosa a sé stante: esso va ad inserirsi nel più ampio disegno di gestione della privacy della propria impresa. Il titolare del trattamento o il responsabile del trattamento dovranno costantemente aggiornare il proprio registro per tenere conto delle eventuali modifiche nelle attività di trattamento e dati trattati.
Quando è obbligatorio avere il registro dei trattamenti?
Il registro dei trattamenti è obbligatorio per tutte quelle imprese o organizzazioni che impiegano più di 250 persone. Il comma 5 dell’art. 30 GDPR, dispone che l’obbligo di disporre di un registro delle attività di trattamento non si applica alle imprese o organizzazioni che impiegano meno di 250 persone.
Lo stesso comma 5 prevede però delle eccezioni al limite numerico. Dovranno munirsi di questo documento le imprese o organizzazioni con meno di 250 persone il cui trattamento:
Il considerando 75 del Regolamento fa luce su cosa deve intendersi per rischio per le libertà e per i diritti dell’interessato.
Mette a rischio le libertà e i diritti dell’interessato il trattamento che sia suscettibile di causare un danno fisico, materiale o immateriale. Il considerando specifica ulteriormente le tipologie di trattamenti che possono risultare in un danno materiale o immateriale per l’interessato e offre a tale scopo una lista di casi.
La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento (considerando 76).
Cosa deve contenere il registro dei trattamenti?
L’art. 30 offre un’indicazione delle voci minime che il registro deve contenere. Il titolare del trattamento dovrà offrire le seguenti informazioni:
Anche i responsabili del trattamento sono obbligati ad avere un registro. Le informazioni da includervi sono sostanzialmente le stesse indicate nello schema e specificate dal secondo comma dell’art. 30 GDPR.
Il registro delle attività di trattamento, sia esso del titolare del trattamento o del responsabile del trattamento, dovrà assumere la forma scritta. Non è necessario però che esso sia mantenuto in forma cartacea essendo possibile utilizzare un registro elettronico. Quest’ultimo formato è anche quello consigliato dovendo il documento essere aggiornato frequentemente per riportare ogni eventuale cambiamento nel trattamento dei dati personali.
Come si compila il registro dei trattamenti?
Per poter compilare il registro dei trattamenti è necessario svolgere una mappatura dei dati personali. In assenza di questo passaggio, il registro rischia di non rispecchiare l’effettiva realtà dell’impresa o dell’organizzazione alla quale si riferisce.
La mappatura dei dati personali consente di avere cognizione dei dati personali trattati dall’impresa o organizzazione, oltre ad una piena conoscenza del flusso delle informazioni da un dipartimento all’altro.
Anche se non esplicitamente richiesto, nel registro delle attività di trattamento il titolare del trattamento potrà rimandare (mediante link ipertestuali) alle informative, linee guida, policy di conservazione dati e così via.
Il registro potrà essere mantenuto in un file di testo (ad es. Word) o un foglio di calcolo (come un file Excel) dove andranno indicate tutte le voci richieste dal comma 1 e 2, dell’art. 30 GDPR.
Al termine potrà essere indicata la data di entrata in vigore e la data dell’ultima modifica.
L’utilità del registro dei trattamenti
Questo documento consente al titolare del trattamento di rispettare il principio di responsabilizzazione (art. 5, comma 2 GDPR). Secondo questo principio, il titolare del trattamento deve conformarsi al GDPR rispettandone tutti i principi.
Non basta però solo dire di aver adottato tutte le misure necessarie per rispettare i principi che il Regolamento introduce. Si dovrà essere in grado di provare che il trattamento dei dati personali avviene in conformità con il GDPR. Ed è proprio qui che emerge l’utilità del registro dei trattamenti.
Da una parte, il considerando 82 del GDPR dispone che il titolare del trattamento tiene un registro dei trattamenti:
Per dimostrare che si conforma al presente regolamento.
Dall’altra, l’art. 30, comma 4, GDPR dispone che:
Su richiesta, il titolare del trattamento […] mett(e) il registro a disposizione dell’autorità di controllo.
Munendosi del registro delle attività di trattamento, il titolare del trattamento disporrà di uno strumento utile per dimostrare alle autorità di controllo la propria conformità al GDPR.
Conclusioni
Il registro è un documento può essere adottato anche da chi non è obbligato dalla normativa. Il suo utilizzo è infatti consigliato affinché titolare del trattamento possa avere una visione generale dei trattamenti eseguiti all’interno della propria impresa o organizzazione.
Il registro dei trattamenti rappresenta un supporto efficace che rende più semplice passare lo scrutinio del Garante della privacy in caso di controlli.
