Tutto quello che c’è da sapere sul Registro dei Trattamenti

L’art. 30 del Regolamento Europeo 679/2016 indica il Registro dei trattamenti come strumento fondamentale per la GDPR compliance, cioè la conformità di un’azienda alle Norme in materia di protezione dei dati personali. In questo articolo andremo a vedere tutto quello che c’è da sapere su questo documento:

Cos’è il Registro dei trattamenti?

Il Registro dei trattamenti fornisce un quadro aggiornato dei trattamenti effettuati dall’azienda e va esibito alle autorità in caso di controlli. E’ fortemente consigliato anche nei casi in cui questo non fosse obbligatorio e deve contenere le principali informazioni riguardo le operazioni di trattamento svolte dal titolare e, se previsto, dal responsabile del trattamento.

Chi deve dotarsi del Registro dei trattamenti?

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR.
Resta comunque inteso che, anche nei casi di non obbligatorietà, un Registro dei trattamenti aggiornato e completo, rappresenta un valido strumento che, meglio di qualunque altro, agevola la collaborazione all’attività di controllo del Garante e contribuisce ad attuare la vera essenza del GDPR: il principio di accountability.

Da cosa è composto un Registro dei trattamenti?

Il Registro dei trattamenti può essere redatto in forma anche elettronica, e deve contenere un insieme di informazioni fondamentali ed altre aggiuntive, eventuali.

Contenuto fondamentale di un Registro dei trattamenti

Nell’art. 30 del GDPR, paragrafo 1, vengono forniti gli elementi costitutivi fondamentali di un Registro dei trattamenti. Vediamo quali sono:

– Finalità del trattamento

In questa sezione andranno indicate le finalità dei trattamenti dei dati individuati, corredate preferibilmente della base giuridica dei trattamenti. In caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del GDPR; per i trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione Europea) che ne autorizza il trattamento ai sensi dell’art. 10 del GDPR;

– Categorie di interessati e delle categorie di dati personali

In questa sezione vanno specificate le tipologie di interessati (es. clienti, fornitori, dipendenti) e quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati di contatto, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

– Categorie di destinatari a cui i dati sono stati o saranno comunicati

Andranno riportati adesso gli altri titolari cui siano comunicati i dati. E’ buona norma indicare in questa sezione anche gli eventuali altri soggetti come i responsabili e sub-responsabili del trattamento cui saranno trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento).

– Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale

Se sono previsti trasferimenti di dati personali verso un paese terzo, questa operazione andrà indicata unitamente al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del GDPR (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

– Termini ultimi previsti per la cancellazione delle diverse categorie di dati

Per ogni tipologia di dato trattato, vanno indicati in questa sezione i tempi di cancellazione dei dati personali (ad es. 24 ore per le registrazioni di immagini per video-sorveglianza). I tempi di conservazione, nel caso di difficoltà nello stabilire un termine preciso, potranno essere esplicitati in riferimento a criteri (es. norme, prassi).

– Descrizione generale delle misure di sicurezza

E’ una lista delle misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del GDPR. L’elenco resta comunque una lista aperta e non esaustiva: la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento è rimessa al titolare. Contrariamente all’allegato B del D.Lgs. 196/2003, tale lista non rappresenta un contenitore “statico” ma ha carattere dinamico, essendo soggetta a modifiche nel caso di nuovi sviluppi tecnologici e l’insorgenza di nuovi rischi. Le misure di sicurezza sono descritte in modo da fornire un quadro generale e complessivo in relazione alle attività di trattamento svolte.

Contenuto aggiuntivo ed/o eventuale di un Registro dei trattamenti

Il registro può rimandare a documenti esterni per maggiori approfondimenti e per liste più dettagliate dei diversi punti trattati. Inoltre, qualunque informazione aggiuntiva riguardo i trattamenti, che il titolare volesse includere (ad es. modalità di raccolta del consenso, valutazioni di impatto, …) possono essere indicate nel registro.

Come archiviare un Registro dei trattamenti?

Il Registro dei trattamenti va conservato in azienda e ogni cambiamento nelle modalità, ogni aggiunta di trattamenti, va riportata sul Registro. Deve inoltre essere presente la data della sua prima istituzione o creazione oltre a quella eventuale dell’ultimo aggiornamento. Può riportare in questo modo tali informazioni: “- data di creazione del documento: gg/mm/aaaa”; “- ultimo aggiornamento avvenuto in data gg/mm/aaaa”.

Un modello di Registro dei trattamenti

Il Garante per la protezione dei dati personali ha condiviso un modello “semplificato” per le PMI di Registro dei trattamenti che può considerarsi un ottimo esempio da seguire per la stesura. Puoi scaricare il modello di Registro dei trattamenti direttamente qui, dalla nostra pagina di download con gli altri documenti fondamentali per la protezione e il trattamento dei dati personali.

Se ti è piaciuto questo articolo, condividilo!

Be the first to comment

Leave a Reply

L'indirizzo email non sarà pubblicato.


*