GDPR: il Registro delle Attività di Trattamento e le indicazioni del Garante italiano

GDPR Registro delle Attività di Trattamento

Come noto, il 25 maggio 2018 è diventato pienamente applicabile il Regolamento EU 2016/679 in materia di protezione dei dati personali (GDPR) che, tra le altre cose, istituisce l’obbligo – a certe condizioni – di tenere un registro delle attività di trattamento (in forma cartacea o in formato elettronico) a cura del titolare e del responsabile del trattamento ai sensi dell’art. 30.

Questo “adempimento” costituisce uno dei principali elementi di accountability, termine anglosassone che esprime il concetto di responsabilizzazione e che si concretizza nell’adozione di comportamenti proattivi in grado di dimostrare la concreta adozione di misure finalizzate ad assicurare la corretta applicazione del Regolamento. In questo modo i soggetti che determinano finalità e mezzi del trattamento sono spinti ad attuare tutte le misure necessarie per una protezione effettiva del dato personale.

Il Registro rappresenta uno strumento idoneo per fornire un quadro aggiornato dei trattamenti in essere all’interno di una organizzazione, indispensabile ai fini della valutazione o analisi del rischio e, dunque, preliminare rispetto a tale attività. Per la sua importanza, il Garante per la protezione dei dati personali ha recentemente messo a disposizione sul proprio sito internet specifiche istruzioni, che qui di seguito vengono sintetizzate.

Il Registro delle Attività di Trattamento

La norma non definisce un modello preciso di Registro, ma indica le informazioni essenziali che devono essere in esso contenute: nome e dati del titolare e del responsabile della protezione dei dati; finalità del trattamento; descrizione delle categorie di interessati e delle categorie di dati personali, categorie di destinatari a cui i dati personali sono stati o saranno comunicati; termini previsti per la cancellazione delle diverse categorie di dati; descrizione generale delle misure di sicurezza tecniche o organizzative.

Chi è tenuto a dotarsi di Registro

I titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento alle condizioni previste dall’art. 30 GDPR.

In ambito privatistico, i soggetti obbligati sono:

imprese e organizzazioni (associazioni, fondazioni e i comitati) con almeno 250 dipendenti;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possono presentare un rischio – anche non levato – per i diritti e le libertà dell’interessato;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par.1 GDPR (ovvero: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute e alla vita sessuale o all’orientamento sessuale della persona); o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR;

In termini concreti, sono tenuti all’obbligo di redazione del registro, a titolo esemplificativo:

gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione) e/o che trattino dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori);
associazioni, fondazioni e comitati ove trattino “categorie particolari di dati e/o dati relativi a condanne penali o reati (ad es: organizzazioni di tendenza, associazioni a tutela di soggetti c.d. vulnerabili come malati, persone con disabilità, detenuti; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere,, razziali, basate sull’orientamento sessuale, politico o religioso; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso;

il condominio ove tratti categorie particolari di dati (ad es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Con particolare riguardo alle imprese e alle organizzazioni con meno di 250 dipendenti, il Garante ha precisato come le stesse potranno comunque beneficiare di alcune misure di semplificazioni (si pensi agli esercizi commerciali con un solo dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento.

Il Garante raccomanda a tutti i titolari e responsabili del trattamento la tenuta del registro anche fuori dai casi in cui ne è previsto l’obbligo in quanto è lo strumento che consente di attuare al meglio il principio della accountability e al contempo agevola in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Quali informazioni deve contenere

La principale difficoltà riscontrata per i titolari e i responsabili del trattamento è quella di individuare le attività di business che presuppongono la raccolta ed elaborazione di dati personali e, successivamente, di distinguerli in base alle finalità perseguite, alla base giuridica che ne legittimano il trattamento ed alle categorie di interessati coinvolti.

Pertanto, anche con riferimento ai contenuti, il Garante ha fornito le seguenti indicazioni:

con riguardo alle “finalità del trattamento”, oltre alla precisa indicazione delle stesse distinte per tipologie di trattamento (una cosa è, infatti, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro, un’altra è il trattamento dei dati di contatto dei fornitori per la gestione degli ordini) sarebbe opportuno anche indicare la base giuridica dello stesso. Posto che il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle condizioni di cui all’art. 6 GDPR, sarebbe opportuno indicare la specifica norma che ne autorizza il trattamento;
in relazione alla “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (come ad es. dipendenti, fornitori, clienti), sia quelle dei dati personali oggetto di trattamento (dati anagrafici, sanitari, biometrici genetici, dati relativi a condanne penali, e così via);
in relazione alle “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati stessi. A titolo esemplificativo: gli enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi; il soggetto esterno al quale sia stato affidato del titolare il servizio di elaborazione delle buste paga, ecc.;
nel caso di “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo cui i dati sono trasferiti e alle garanzie adottate ai sensi del capo V del GDPR;
con riguardo ai “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità del trattamento. Per esempio, in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione, in caso di contenzioso i dati saranno cancellati al termine dello stesso;
in relazione alla “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico organizzative adottate dal titolare ai sensi dell’art. 32 GDPR. Si ricorda, che l’elenco ivi riportato è puramente indicativo, nel senso che la valutazione dell’adeguatezza del livello di sicurezza viene rimessa al titolare (in linea col principio di accountability) che potrà, a seconda delle specifiche necessità, ampliare e prevedere ulteriori misure di sicurezza, anche in relazione al progresso tecnologico.

Ultime precisazioni

Il Registro può contenere ulteriori informazioni rispetto a quelle previste dall’art. 30 GDPR. Anzi, dovrebbe contenere tutte quelle informazioni necessarie e indispensabili per individuare e valutare gli obblighi previsti dal quadro normativo di riferimento e i rischi a cui possono essere esposti i dati personali in funzione degli strumenti utilizzati per il loro trattamento, e che possono causare potenziali danni, sia materiali che immateriali, agli interessati.

Con riguardo alle modalità di conservazione e aggiornamento del Registro, il Garante ha precisato che lo stesso deve essere mantenuto costantemente aggiornato: qualsiasi cambiamento deve essere immediatamente inserito nel Registro. Il Registro può essere compilato sia in formato cartaceo che elettronico, e deve in ogni caso recare la data della sua prima istituzione e la data dell’ultimo aggiornamento.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie "_ga" viene utilizzato per determinare i visitatori univoci del sito e viene aggiornato a ogni pagina visualizzata. Inoltre, questo cookie viene fornito con un ID univoco che Google Analytics utilizza per garantire la validità e l'accessibilità del cookie come ulteriore misura di sicurezza.
_gat_gtag_UA_55764475_1	1 minute	Impostato da Google per distinguere i visitatori del Sito.
_gid	1 day	Fa parte di Google Universal Analytics e viene utilizzato principalmente per tenere traccia delle visite a qualsiasi sito che utilizza Google Analytics.
__gads	1 year 24 days	Impostato da Google, è un cookie sotto il dominio DoubleClick e tiene traccia del numero di volte in cui gli utenti vedono un annuncio, misura il successo della campagna e calcola le sue entrate. Questo cookie può essere letto solo dal dominio su cui sono impostati e non traccerà alcun dato durante la navigazione su altri siti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Advertisement".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Functional/Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessary/Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Others/Altri".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Performance/Prestazioni".
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Utilizzato da Google DoubleClick per registrare e produrre resoconti sulle azioni dell'utente sul sito dopo aver visualizzato o cliccato una delle pubblicità dell'inserzionista al fine di misurare l'efficacia di una pubblicità e presentare pubblicità mirata all'utente.
test_cookie	15 minutes	Utilizzato da Google per verificare se il browser dell'utente supporta i cookie.

GDPR: il Registro delle Attività di Trattamento e le indicazioni del Garante italiano

Il Registro delle Attività di Trattamento

Chi è tenuto a dotarsi di Registro

Quali informazioni deve contenere

Ultime precisazioni

SOCIAL NETWORK

ULTIMI ARTICOLI

CONTATTI