Registro trattamento dati, scopriamo cos'è - Legal For Digital
Blog di Legal For Digital

Registro trattamento dati, scopriamo cos’è

registro-trattamento-dati

Il registro trattamento dati è un documento interno all’azienda, ed è disciplinato dall’art. 30 del GDPR

Il GDPR, se da un lato mette al centro i diritti personali dell’interessato, innalzando la privacy al valore di diritto fondamentale, dall’altro lato per far sì che la tutela della privacy sia effettiva impone degli obblighi al titolare del trattamento.

Il regolamento europeo responsabilizza il titolare per garantire la sicurezza dei dati trattati, affidandogli un ruolo proattivo e di responsabilità. Nel farlo stabilisce i principi a cui si deve attenere nel prendere qualsiasi decisione che riguarda i dati, dalla fase di raccolta fino alla fase di cancellazione.

Il GDPR impone quindi al titolare di seguire determinate procedure che sono obbligatorie per essere compliance con il GDPR : 

  • effettuare la valutazione del rischio;
  • redigere l’informativa privacy;
  • tenere il registro dei trattamenti.

Cos’è il registro trattamento dati?

Il registro GDPR è un documento interno all’azienda e si inserisce nel sistema di corretta gestione dei dati.

Rappresenta un documento fondamentale per la conformità al GDPR

È un adempimento nuovo rispetto alla disciplina della privacy precedente.

Il regolamento europeo ne prescrive anche i requisiti formali: il registro deve avere forma scritta, anche elettronica.

Come precisa il Garante per la privacy

Il registro dei trattamenti non costituisce un adempimento formale, bensì è parte integrante di un sistema di corretta gestione dei dati personali.

Quest’affermazione per sottolineare il fatto che la tenuta e corretta compilazione del registro trattamento dati ha un ruolo basilare per dimostrare il rispetto del principio di accountability da parte del titolare del trattamento.

Il Garante raccomanda l’utilizzo del registro anche laddove non sia obbligatorio, perché nel momento in cui il titolare del trattamento deve dimostrare di aver rispettato il principio di accountability, il registro è il principale strumento di supervisione che permette di avere un quadro preciso di come viene trattato il dato.

E visto che è onere del titolare dimostrare di agire in conformità del GDPR, è prima di tutto nel suo interesse tenere e aggiornare il registro dei trattamenti di dati personali.

Il registro trattamento dati è il punto di partenza per dimostrare la conformità alla normativa sulla privacy.

Affinché il registro del trattamento dati adempia alla sua funzione deve essere strutturato in modo che dai suoi contenuti emergano tutte le caratteristiche dei dati trattati, le finalità del trattamento, ogni vicenda rilevante del dato, ogni decisione che lo ha coinvolto e ogni comunicazione fatta all’interessato su sua richiesta. 

Dal registro trattamenti GDPR deve emergere la liceità del trattamento, il rispetto dei principi fondamentali e le eventuali misure adottate per garantirne la sicurezza.

Per quanto riguarda la comunicazione della tenuta del registro, è obbligatoria per le PA, perché è un documento amministrativo. Non è obbligatoria per le imprese perché è un documento interno.

Chi è tenuto a redigere il registro trattamento dati?

Il registro privacy è obbligatorio per le pubbliche amministrazioni e per le imprese con più di 250 dipendenti. Ma se l’impresa tratta dati a “rischio”, è obbligatorio comunque, anche se i dipendenti sono meno di 250.

Deve quindi essere fatta prima di tutto la valutazione e analisi del rischio del trattamento, che è uno degli obblighi imposti dal GDPR al titolare del trattamento.

Il garante della privacy chiarisce che il registro è obbligatorio anche quando l’attività di trattamento implica un basso rischio per la sicurezza e le libertà dell’interessato. 

Quindi sono tenuti a tenere il registro trattamento dati le PMI se rientrano in questi casi:

  • Sono attività commerciali che hanno anche un solo dipendente; 
  • Trattano dati sanitari dei clienti o comunque dati particolari (ad esempio i dentisti);
  • Sono liberi professionisti che hanno anche un solo dipendente oppure che trattano dati particolari dei clienti (avvocati);
  • Associazioni, fondazioni, comitati che trattano categorie particolari di dati.

Per quanto riguarda i soggetti responsabili del registro sono i titolari e contitolari del trattamento, i responsabili esterni al trattamento, gli eventuali sub-responsabili.

Mentre il responsabile esterno ha obblighi solo in merito al proprio registro, il titolare risponde per il proprio registro ma anche per quelli del responsabile su cui ha un potere/dovere di controllo.

Quali sono i contenuti obbligatori del registro trattamento dati?

Il regolamento europeo parla di registro attività trattamento. Cosa significa “attività”?

Bisogna che il registro del trattamento sia la fotografia perfetta di ogni dettaglio dei dati trattati.

Il GDPR scioglie ogni dubbio interpretativo su cosa si intende per attività perché stabilisce i contenuti obbligatori del registro trattamento dati: 

  •  Il registro del trattamento deve indicare tutte le persone coinvolte nel trattamento dati:
    • titolare e sue generalità
    • contitolare se c’è, e sue generalità
    • DPO se previsto, con i recapiti
    • soggetti a cui vengono comunicati i dati trattati. Ad esempio soggetti terzi che profilano i dati degli utenti sul sito web appartenente al titolare del trattamento. 
    • responsabili ed eventuali sub-responsabili del trattamento
    • eventuali incaricati al trattamento
  • Deve poi indicare la base giuridica e le finalità del trattamento;
  • Categorie di interessati (dipendenti, clienti, utenti) e tipologie di dati trattati (dati anagrafici, dati biometrici, dati sanitari);
  • Se i dati vengono trasferiti all’estero o ad un organizzazione internazionale, deve essere indicato il Paese o l’organizzazione, ma anche specificata la modalità di trasferimento in relazione alla disciplina prevista dal GDPR;
  • Le misure di sicurezza adottate dal titolare del trattamento;
  • Devono essere stabiliti i termini per la cancellazione dei dati trattati o, se questo non è possibile, va richiamato il rispetto delle norme che disciplinano la fattispecie;
  • Eventuali casi di data breach.

Questi sono i contenuti minimi del registro trattamento dati.

Ma, come precisa il GDPR, il registro può contenere ulteriori informazioni rilevanti per documentare le attività di trattamento. Ed essendo lo strumento principale con cui il Garante verifica la conformità al GDPR, è meglio annotare tutto. 

Quali sono le modalità di gestione e conservazione del registro trattamento dati?

Il registro trattamento dati è uno strumento operativo dell’impresa. Non si può sottovalutare l’aspetto di gestione del registro. È un documento dinamico dove è fondamentale l’aggiornamento. Sul registro deve quindi essere presente la data in cui è stato redatto e la data dell’ultimo aggiornamento. E, come già detto, il registro deve avere forma scritta, meglio ancora se elettronica. 

Nelle grandi aziende è opportuno nominare delle figure referenti per la tenuta del registro e, ove possibile, un gruppo di lavoro che si occupi della redazione del documento, visto che è molto complesso. Possono essere adibiti a questo ruolo i c.d. designati che con il GDPR prendono il posto degli incaricati del trattamento. Eseguono delle mansioni di trattamento secondo le istruzioni del titolare e sotto la sua responsabilità, quindi rispondono perfettamente all’esigenza di compilare e aggiornare il registro.

Bisogna tener conto del fatto che nelle grandi realtà le tipologie di dati personali trattati sono tante, e per ognuna di esse le informazioni devono essere complete. Ma non solo: è necessario aggiornare il registro ad ogni mutamento di ogni contenuto.

Purtroppo nella realtà molte imprese trascurano il fatto che ogni trattamento necessita di un registro a sé. Quindi ad esempio i dati raccolti dall’HR per il recruiting saranno trattati separatamente rispetto ai dati trattati per la formazione anche se se ne occupa lo stesso ufficio HR. 

La sinteticità è sintomo di trascuratezza, e il Garante la prima cosa che va a verificare è proprio la corrispondenza fra ciò che è documentato nel registro e quella che è la realtà dell’impresa.

Il registro trattamenti semplificato per le PMI

Per quanto riguarda le piccole e medie imprese, che, ricordo, non sono esonerate in quanto tali dal gdpr registro dei trattamenti, è possibile compilare un documento semplificato.

Lo stesso garante per la privacy mette a disposizione sia per il titolare che per il responsabile un modello del registro per le PMI

Il titolare dovrà inserire:

  • Tipologia di trattamento
  • Finalità del trattamento
  • Categorie di interessati
  • Tipologie di dati personali
  • Categorie di destinatari
  • Trasferimento dei dati verso Paesi terzi
  • Termini ultimi di cancellazione dei dati
  • Misure di sicurezza tecniche e organizzative

Il responsabile dovrà inserire:

  • I dati di contatto del responsabile e del DPO se previsto
  • Categoria di trattamento
  • Dove presente trasferimento verso Paesi terzi o organizzazioni internazionali
  • Misure di sicurezza tecniche e organizzative

Al fine di stimolare l’utilizzo del registro del trattamento, il garante stabilisce che questo modello può essere adottato anche dalle imprese che non sono obbligate a tenere il registro dei trattamenti, ma scelgono di utilizzarlo.

Il registro dei trattamenti GDPR del responsabile esterno

Il responsabile esterno è tenuto come il titolare del trattamento ad avere il registro trattamenti privacy.

Se agisce per conto di più titolari, deve redigere una sezione per ciascuno di essi. Ma se i titolari sono un numero eccessivo e cambiano frequentemente, si pensi ad esempio ad un’agenzia di marketing strutturata, allora è opportuno fare dei rinvii ad anagrafiche esterne dove sono riportate tutte le informazioni richieste dall’art. 30.

I contenuti obbligatori per il responsabile sono limitati alla descrizione dell’attività di trattamento svolta, l’eventuale comunicazione dei dati a Stati terzi e le misure di sicurezza adottate per rendere l’ambiente lavorativo idoneo al trattamento.

Se è prevista la presenza anche di sub-responsabili, sono tenuti a compilare il registro trattamenti. In questo caso l’attività di trattamento svolta dovrà corrispondere a quella prevista dal contratto stipulato con il responsabile dei trattamento.

Le sanzioni relative al registro trattamento dati

Il GDPR stabilisce che per determinate imprese è obbligatorio tenere il registro del trattamento dati. 

La mancata o incompleta attuazione dell’obbligo di tenere il registro costituisce violazione del principio di accountability.

Non parliamo quindi di una mera violazione formale, ma siamo nell’ambito della violazione della principale responsabilità del titolare del trattamento: quella per cui il titolare non solo è responsabile e risponde delle misure che intraprende, ma ha anche la responsabilità della verificabilità di ciò che mette in atto.

E come già detto il registro del trattamento dati è lo strumento che permette di dimostrare l’iter delle misure adottate e delle decisioni prese, quindi è il primo segnale che fa capire se il titolare è stato accountable oppure no.

Quindi il GDPR prevede una sanzione amministrativa per violazione delle procedure, stabilendo una multa fino a 10 milioni di euro o fino al 2% del fatturato dell’impresa. 

Conclusioni

Il registro dei trattamenti ha una ratio simile all’informativa privacy: non si tratta di meri adempimenti formali ma sono il presupposto per l’esercizio dei principi stabiliti dal GDPR.

L’informativa privacy è uno strumento di tutela per l’interessato perché gli permette di essere a conoscenza di come sono trattati i suoi dati e di avere i mezzi per fare le scelte in merito al consenso.

Il registro è lo strumento che tutela il titolare del trattamento perché gli dà l’opportunità di dimostrare di essere accountable nel gestire i dati. È quindi nel suo interesse tenerlo anche se non è obbligato, e compilarlo correttamente. 

Come l’informativa anche il registro va concepito come un documento che deve essere costruito ad hoc per la singola azienda.

Non sono documenti il cui ruolo è meramente formale e burocratico. Servono a rendere effettive le disposizioni del GDPR. 

È raccomandato affidarsi ad un esperto esterno che analizza tutti gli aspetti dell’azienda per redigere un documento su misura. E, se è possibile, è opportuno affidare ad un incaricato interno la compilazione e l’aggiornamento del registro. 

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO