Il Registro dei trattamenti GDPR: cos’è, come si compila.

Reading Time: 5 minutes

Una novità: il registro dei trattamenti.

Sapete quante volte compare il termine “dimostrare” nel Regolamento Generale sulla Protezione dei dati (GDPR)? Non meno di 33 volte! 

Una delle “novità” principali introdotte è infatti, il principio di responsabilizzazione (accountability nell’accezione inglese).

In virtù di questo principio, il titolare e il responsabile del trattamento, devono dimostrare di aver posto in essere comportamenti proattivi finalizzati alla concreta applicazione del regolamento. 

Come possono, titolari (controller) e in alcuni casi i responsabili del trattamento (data processor),  render conto del proprio operato? Come sottolineato dall’Autorità Garante italiana, il primo passo verso l’accountability è la creazione del Registro delle Attività di Trattamento

Se volessimo semplificare il registro delle attività di trattamento è come se fosse una “FOTOGRAFIA” di tutti trattamenti ( servizi che utilizzano dati personali, banche dati di dati personali, comportamenti dell’azienda sui dati personali utilizzati ecc. ).

Costituisce uno strumento fondamentale in grado di fornire un quadro complessivo, un’ “ISTANTANEA” delle informazioni che si qualificano come “dati personali” e le relative operazioni di trattamento.

Attenzione il Registro dei trattamenti non è un documento di valutazione dei rischi ma è il punto di riferimento necessario per sviluppare altri documenti, strutturale valutazioni di rischio impatto, redigere in modo corretto le informative.

Inoltre, come sottolineato dal considerando 82, il registro costituisce uno strumento in grado di favorire la cooperazione con l’autorità di controllo e facilitare la sua supervisione.

Nel presente articolo, cercheremo di far luce sull’importanza della redazione di suddetto registro, anche grazie al prezioso supporto del Manuale RPD (elaborato per il programma T4DATA e con il contributo del Garante italiano).

A cosa serve il Registro delle Attività di Trattamento?

La creazione del registro non costituisce un adempimento formale ma è parte integrante di un sistema di corretta gestione dei dati personali. Si è passati da una concezione formale di mero adempimento, ad un approccio sostanziale volto alla tutela dei dati e delle persone.

Soggetti obbligati alla tenuta sono soggetti apicali in ambito privacy, ovvero i titolari e responsabili esterni (data processor) del trattamento, si avranno quindi due registri: Registro del titolare e registro del Responsabile Esterno (Data Processor). 

Per quanto riguarda il contenuto, il registro è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e dal responsabile del trattamento esterno (Data Processor)

A tal proposito, il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (controller) e in quello del responsabile esterno (data processor), vediamoli insieme: 

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO DEL TITOLARE (controller)

  • In base all’art. 30, paragrafo 1 del GDPR, il registro delle attività di trattamento di un titolare deve far riferimento alle attività di trattamento svolte sotto la propria responsabilità e deve contenere: 
  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali; [compreso se vi sono dati che ricadono nella lista delle “categorie particolari di dati personali”/dati sensibili];
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

…In caso di contitolarità? (V. articolo sul blog https://www.marcoladiega.it/gdpr/contitolarita-nel-gdpr/ ) la medesiam attività deve essere censita in entrambi i registri. 

Vi sarete accorti come questa lista non ricomprenda altri aspetti cruciali al fine di determinare la legittimità e la compatibilità con il GDPR di qualunque trattamento, quali ad esempio la base giuridica del trattamento dei dati in questione, gli strumenti giuridici utilizzati per stipulare contratti con responsabili del trattamento o ai fini dei trasferimenti di dati. Il manuale infatti evidenzia che anch’essi dovrebbero figurare nel registro. 

Inoltre, come sottolineato dall’Autorità Garante italiana, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

Quali informazioni deve contenere il registro dei trattamenti?

  • In base all’articolo 30, paragrafo 2 del GDPR, il registro delle attività di trattamento di un responsabile consiste nella raccolta delle categorie di ciascuna attività di trattamento svolta per conto di un titolare; il registro deve includere le seguenti informazioni:
  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; 
  2. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Come abbiamo visto, il registro del titolare (Controller) è diverso da quello del responsabile del trattamento (Data Processor). Inoltre dobbiamo tener presente che il Responsabile del trattamento sarà tenuto a redigere tanti registri quanti sono i soggetti (titolari) per i quali effettua il trattamento e dovrà, inoltre, redigere un registro in qualità di titolare.

ESENZIONE:

L’art. 30, paragrafo 5 esonera le imprese o organizzazioni con meno di 250 dipendenti, e che trattano dati personali solo occasionalmente, dall’obbligo di mantenere un registro delle attività di trattamento di dati. Tuttavia, tale eccezione non si applica se:

  • il trattamento che esse effettuano può “presentare un rischio per i diritti e le libertà dell’interessato”. Attenzione: non deve necessariamente trattarsi di un “rischio elevato”, ma qualunque rischio per i diritti e le libertà degli interessati, per quanto piccolo, richiederebbe la registrazione (e revisione) delle attività del titolare; 
  • il trattamento non è occasionale; 
  • il trattamento include dati sensibili o dati relativi a condanne penali e a reati.

Ma chi è tenuto, in pratica, a compilare il registro?

Nonostante (come la maggior parte degli altri requisiti del GDPR) questo sia formalmente un dovere del titolare piuttosto che del DPO, in pratica sarà proprio il DPO ad essere chiamato a svolgere tale lavoro (in stretta cooperazione con il competente staff del titolare), o ad essere quantomeno fortemente coinvolto nello svolgimento di tale compito e della sua supervisione. In assenza di obbligo di incarico DPO è il titolare o un suo consulente delegato a compilarlo.

Ah dimenticavo, hai bisogno di supporto? Contattami pure dalla sezione contatti di questo blog.

Cerchi un software che ti possa semplificare la vita con il GDPR?

Ti aspetto qui www.govdpo.it


Tre documenti utili

  • 2 Modelli di Registri delle attività di trattamento semplificati messi a disposizione dal Garante per  la Protezione dei Dati Personali per i titolari e responsabili del trattamento delle PMI.
  • Manuale per gli  RPD

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9152344