Il registro dei trattamenti rappresenta un documento introdotto dalla recente normativa sulla privacy e anche la base per la gestione dei dati personali.

Vediamo a cosa serve, quando è obbligatorio e quali dati devono essere raccolti.

A cosa serve il registro dei trattamenti

Tra i principali adempimenti in capo al titolare e al responsabile del trattamento, il Regolamento UE 679/2016 (GDPR) prevede la tenuta del registro dei trattamenti.

Tale registro altro non è che un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, ove presente, dal responsabile del trattamento.

La tenuta del registro dei trattamenti consente di tenere traccia e mappare tutte le attività di trattamento presenti all’interno di un’organizzazione aziendale.

Può essere compilato sia in formato cartaceo che elettronico, ma deve in ogni caso recare, in maniera verificabile, la data della sua prima creazione, oltre che quella dell’ultimo aggiornamento.

Quando è obbligatorio predisporre il registro dei trattamenti

Ai sensi del GDPR, i soggetti obbligati alla redazione e tenuta del registro dei trattamenti sono:

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
• qualsiasi titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti di categorie particolari di dati di cui all’articolo 9, par. 1 del GDPR (c.d. dati sensibili), o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 del GDPR (c.d. “dati giudiziari”).

Al di fuori dei casi in cui è obbligatorio, l’Autorità Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento.

E in effetti, nella pratica, la tenuta di un documento di questo genere è particolarmente utile e funzionale per evitare di commettere errori nel trattamento dei dati personali.

Fornendo piena contezza del tipo di trattamenti svolti, il registro dei trattamenti contribuisce a meglio attuare il principio di accountability previsto dal GDPR.

Quali informazioni devono contenere i registri dei trattamenti

Il Regolamento UE individua dettagliatamente le informazioni che il registro dei trattamenti deve contenere (art. 30 GDPR), e in particolare:

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
• quando possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

All’interno del registro dei trattamenti può essere riportata qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare come ad esempio i sistemi informatici che trattando quei dati o le aree aziendali che ne hanno accesso.

È possibile inserire, ad esempio, le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, le misure di sicurezza tecniche e organizzative adottate, ecc.

Aggiornamento del registro dei trattamenti

Il registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile.

In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare con riferimento alle modalità, finalità, categorie di dati, categorie di interessati, deve essere prontamente inserito nel registro, dando conto delle modifiche di volta in volta sopravvenute.

BIT4LAW può supportare la tua azienda nella prima costruzione del registro dei trattamenti e per ogni adempimento in ambito privacy, compreso il servizio di DPO esterno o formazione in ambito privacy per il personale e per gli amministratori di sistema.