Tra le varie esplicitazioni del principio di accountability, trattato nel precedente articolo, rientra la tenuta dei registri di trattamento previsti dall’art. 30 del regolamento n. 679/2016.
Il Garante della privacy ha dato nel proprio sito le istruzioni da seguire per la corretta compilazione degli stessi con i relativi modelli.
Cosa è il registro delle attività di trattamento?
È quel documento che contiene le informazioni relative alle operazioni di trattamento dei dati svolte dal titolare.
È un valido strumento per tracciare un molteplicità di dati relativi alle operazioni di trattamento svolte da una impresa, un esercizio commerciale, un libero professionista.
Non può configurarsi come un obbligo formale ma costituisce uno strumento di lavoro preliminare idoneo a fornire un quadro aggiornato per ogni attività in relazione alla valutazione dei rischi.
Da chi e come deve essere redatto?
Sono obbligati a redigere il registro delle attività di trattamento tutti i titolari ed i responsabili del trattamento.
Nello specifico, in ambito privato, l’obbligo è per:
- le imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che:
- effettui trattamenti che possono presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- trattamenti non occasionali;
- tratti delle categorie particolari di dati (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, relativi alla salute o all’orientamento sessuale) o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 del GDPR (cioè dati sensibili o giudiziari)
Nota:
Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione:
è sufficiente registrare i soli trattamenti che attivano l’obbligo di tenuta (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
In sostanza, sono tenuti a predisporre il registro le seguenti categorie di piccole imprese:
a) esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione);
b) esercizi commerciali, esercizi pubblici o artigiani che trattano dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori);
c) liberi professionisti che trattano dati sanitari oppure relativi a condanne penali o reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
d) associazioni che trattano categorie particolari di dati e/o dati relativi a condanne penali o reati (associazioni a tutela di soggetti vulnerabili quali ad esempio malati, persone con disabilità, ex detenuti, associazioni sportive con riferimento ai dati sanitari trattati, partiti e movimenti politici, sindacati, associazioni e movimenti a carattere religioso);
e) il condominio ove tratti “categorie particolari di dati”, come delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche).
Il registro deve anche recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.
L’aggiornamento consente, infatti, che il contenuto del registro corrisponda all’effettività dei trattamenti posti in essere.
Qualsiasi cambiamento in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Quali informazioni deve contenere?
Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro, in particolare:
- il nome e i dati di contatto del titolare del trattamento e, se nominati, del responsabile del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (dpo);
- le finalità del trattamento, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro;
- la base giuridica del trattamento cioè la specifica normativa che ne autorizza il trattamento;
- una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti) e delle categorie dei dati personali (es. dati anagrafici, dati sanitari, etc);
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (es. enti previdenziali per adempiere agli obblighi contributivi);
- i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale e alle “garanzie” adottate;
- dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- descrizione generale delle misure di sicurezza adottate.
La società si dibatte nell’eterno bipolarismo di due forze in contrapposizione: quelle del cambiamento e quelle della conservazione.
La ribellione e la repressione, La ricerca del nuovo e l’imposizione delle norme.
(Jim Morrison)
Per concludere, è evidente che al di là dei casi di tenuta obbligatoria dei registri (tutti quelli previsti dall’art. 30) è davvero difficile individuare i soggetti che non sono legalmente tenuti.
Non a caso, il Garante ne “raccomanda” la redazione a tutti, indipendentemente dagli obblighi previsti dalla normativa, in quanto strumento che, fornendo piena contezza del tipo di trattamenti effettuati, contribuisce ad attuare il principio di accountability nonché ad agevolare in maniera collaborativa l’attività di controllo del Garante stesso.
