Registro trattamenti privacy: istruzioni e semplificazioni per le PMI

Il Garante privacy ha fornito le istruzioni operative in merito alla tenuta del Registro delle attività di trattamento. Ecco le regole saguire

>> Entra nel nuovo Canale WhatsApp di Lavoro e Diritti

di Daniele Bonaddio - 11 Ottobre 2018

Il nuovo GDPR (Regolamento (EU) n. 679/2016) all’art. 30 ha imposto al titolare e al responsabile del trattamento di redigere un’apposito Registro trattamenti privacy; su questo vengono annotate le principali informazioni riguardanti le operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale o un libero professionista.

A tal proposito, il Garante per la protezione dei dati personali con una notizia apparsa l’8 ottobre scorso sul proprio sito ha comunicato di aver messo a disposizione le istruzioni per la redazione del Registro delle attività di trattamento. Vediamo quindi nel dettaglio chi è tenuto a redigere il predetto registro, quali informazioni deve contenere e quali sono le modalità di tenuta.

GDPR, registro trattamenti privacy: adempimenti

Come detto in premessa, l’obbligo di redigere il registro rappresenta un’adempimento dettato dall’art. 30 del Regolamento (EU) n. 679/2016, in quanto rappresenta uno dei principali elementi di accountability del titolare.

Esso costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Leggi anche: Check list adempimenti privacy 2018 per studi professionali

Registro privacy: soggetti interessati

Sono obbligati a redigere il registro:

• tutti i titolari;
• e i responsabili del trattamento.

In particolare, sono obbligati:

• le imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
• titolare o responsabile (incluse PMI) che effettui trattamenti non occasionali;
• titolare o responsabile (incluse PMI) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Da notare che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione; potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate.

Registro trattamenti privacy: informazioni

Il Regolamento (EU) n. 679/2016 individua espressamente tutte le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare e in quello del responsabile. In particolare, bisogna indicare nei sottoelencati campi:

• finalità del trattamento, oltre all’indicazione delle stesse, anche la base giuridica;
• descrizione delle categorie di interessati e delle categorie di dati personali, sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento;
• categorie di destinatari a cui i dati sono stati o saranno comunicati, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi);
• trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD;
• termini ultimi previsti per la cancellazione delle diverse categorie di dati, i tempi di cancellazione per tipologia e finalità di trattamento;
• descrizione generale delle misure di sicurezza, le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere.

Registro trattamenti privacy: modalità di tenuta

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Esso deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

È importante che il registro rechi la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento); unitamente a quella dell’ultimo aggiornamento.

Modello registro trattamenti privacy

Di seguito, si riportano sia il modello semplificato delle attività di trattamento del titolare per PMI che il Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI. Sulla pagina del Garante sono presenti anche le FAQ.

  Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (88,6 KiB, 961 hits)

  Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (63,4 KiB, 886 hits)