Il registro dei trattamenti: cos’è e come si redige

Le direttive del su come fare per tenere il registro dei trattamenti

Cos’è il registro dei trattamenti?

Registro dei Trattamenti

Il registro dei trattamenti rientra fra i principali adempimenti privacy del titolare e del responsabile del trattamento che rappresenta un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione.

La corretta e puntuale redazione del registro è inoltre indispensabile e preliminare rispetto alla valutazione ed all’analisi del rischio.

Il registro rappresenta un adempimento dinamico che deve essere tenuto costantemente aggiornato alle attività di trattamento effettuate e redatto in maniera corretta e veritiera.

Come deve essere redatto?

Il registro deve avere forma scritta, anche elettronica. Nei punti successivi vedremo che non esiste un formato predefinito e quindi ognuno può organizzarlo come meglio crede.
Il ricorso a fogli di calcolo come excel o openoffice possono essere usati per creare il registro dei trattamenti.

Chi è obbligato a redigerlo?

Il indica espressamente che tutti i titolari e i responsabili del trattamento sono tenuti a redigerlo, esonerandone dalla tenuta le imprese e le organizzazione con meno di 250 dipendenti salvo che il trattamento da questi effettuati possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di particolari (art. 9, par. GDPR) o di dati personali relativi a condanne penali e a reati (art.10 GDPR).

Il Garante, ha incluso nella categoria di obbligati anche, fra gli altri:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

Tuttavia, al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del GDPR, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Come deve essere redatto il registro dei trattamenti?

Il GDPR indica, all’art.30, le informazioni che il registro deve contenere, indicando i contenuti del registro del titolare ed del registro del responsabile. Tali informazioni sono quelle minime, ben potendo il titolare ed il responsabile ampliarne i contenuti, aggiungendo ogni ulteriore opportuna indicazione.

Quali sono i contenuti minimi del registro?

I contenuti del registro del titolare sono:

  • identità e dati di contatto del titolare/contitolare/rappresentante del trattamento/DPO
  • le finalità e basi giuridiche del trattamento
  • descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • i termini previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative

Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente ai sensi dell’art. 30 GDPR:

  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;1
  2. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  4. una descrizione generale delle misure di sicurezza tecniche e organizzative .

Cosa accade se non si redige il registro dei trattamenti?

La mancata adozione del registro dei trattamenti è soggetta ad una sanzione amministrativa pecuniaria che può arrivare fino a 10.000.000 EUR; per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Come mettersi a norma?

Sul sito dell’Autorità Garante è possibile reperire un’utile guida e dei template semplificati per le PMI. La raccomandazione fondamentale rimane comunque quella di affidare la gestione privacy della propria ad un consulente esperto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *