Ieri, 8 ottobre 2018, Il Garante della Privacy ha pubblicato sul suo sito le istruzioni per la predisposizione del “Registro delle attività di trattamento” – comunemente detto Registro dei trattamenti – previsto dall’art. 30 del GDPR.
Al fine di agevolare il Titolare ed il Responsabile del trattamento in piccole e medie imprese, è stato predisposto un modello di registro semplificato ed anche un documento riepilogativo delle principali domande pervenute sul tema, una nuova FAQ list.
L’Autorità ricorda che il registro è uno strumento idoneo a fornire un quadro aggiornato di tutti gli adempimenti a carico del Titolare del trattamento e, quando sia nominato, del Responsabile del trattamento.
Il registro, che di fatto è uno dei principali elementi di accountability, deve essere messo a disposizione dell’Autorità garante durante le ispezioni ed i controlli.
Dalla lettura della nuova FAQ list mesa a disposizione, si rileva che sono obbligati alla redazione del registro:
- Imprese ed Organizzazioni con almeno 250 dipendenti
- Chiunque effettui trattamenti che (a) possano presentare un rischio per i diritti e le libertà dell’interessato o (b) di categorie particolari o (c) di dati personali relativi a condanne penali ed a reati (art. 30 GDPR).
In merito il Garante ha chiarito che rientrano nella categoria delle “Organizzazioni” di cui all’art. 30 par. 5 anche le Associazioni, le Fondazioni ed i Comitati.
A titolo esemplificativo l’Autorità fornisce un elenco di tipologie di attività che rientrano nell’obbligo di redazione del “Registro delle attività di trattamento”:
- esercizi commerciali, esercizi pubblici o artigianali con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori, palestre, ecc.)
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in genere, ecc.)
- associazioni, fondazioni e comitati ove si trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (per esempio organizzazioni di tendenza; associazioni a tutela di soggetti c.d. vulnerabili come malati, persone con disabilità, ex detenuti, ecc.; associazioni che perseguono attività e/o finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico, religioso, ecc.; associazioni sportive in riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso)
- il condominio ove si trattino “categorie particolari di dati” (p.e. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della Legge 13/1989; richieste di risarcimento danni comprensive di spese mediche relative a sinistri avvenuti all’interno dei locali condominiali)
Nelle FAQ il Garante consiglia la redazione del “Registro delle attività di trattamento” anche al di fuori dello stretto obbligo, in quanto ritiene che il registro contribuisca a meglio attuare il principio di accountability e ad agevolare in maniera “dialogante e collaborativa l’attività di controllo del Garante stesso”.
Il GDPR individua in dettaglio le informazioni che devono essere contenute nel registro predisposto dal Titolare o dal Responsabile del trattamento.
Con riferimento ai campi contenuti del registro, il Garante rappresenta quanto segue:
- “finalità del trattamento”: oltre all’indicazione delle finalità, che deve essere distinta per tipologie di trattamento, sarebbe opportuno indicare anche la base giuridica del trattamento; inoltre, in caso di trattamenti di “categorie particolari di dati”, è opportuno indicare una delle condizioni per cui è contemplato il trattamento dei dati; in caso di trattamento di dati relativi a condanne penali e rati sarebbe , invece, opportuno riportare la specifica normativa che ne autorizza il trattamento
- “descrizione delle categorie di interessati”: vanno specificate sia le tipologie di interessati (p.e. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto del trattamento (p.e. dati anagrafici, dati sanitari, dati genetici, dati relativi a condanne penali o reati, ecc.)
- “categorie di destinatari a cui i dati sono stati o saranno comunicati”: qui andranno riportati sia gli altri titolari a cui sono stati comunicati i dati (p.e. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi) che gli altri soggetti a cui il titolare ha trasmesso i dati (p.e. responsabili e sub-responsabili del trattamento; soggetto esterno a cui sia affidato dal titolare il servizio di elaborazione di buste paga; altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento)
- “trasferimento di dati personali verso un paese terzo o una organizzazione internazionale”: qui sarà necessario fornire un’informazione relativa ai suddetti trasferimenti specificando il Paese in cui i dati sono trasferiti e le garanzie adottate
- “termini ultimi previsti per la cancellazione delle diverse categorie di dati”: dovranno essere individuati i tempi di cancellazione per tipologia e per finalità di trattamento (p.e. ‘in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – c.f.r. 2220 del Codice Civile’); ad ogni modo, ove non sia possibile stabilire a priori il termine massimo, i tempi di conservazione potranno essere specificati mediante riferimento a criteri (p.e. norme di legge, prassi di settore) indicativi degli stessi (p.e. ‘in caso di contenzioso, i dati saranno cancellati al termine dello stesso’)
- “descrizione generale delle misure di sicurezza”: qui andranno indicate le misure tecnico organizzative adottate dal titolare, che potranno essere descritte in forma riassuntiva e sintetica, indicando ove fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (p.e. procedure organizzative interne, security policy, ecc.)
Il registro dei trattamenti, documento che deve essere mantenuto costantemente aggiornato, può essere compilato sia in forma cartacea che digitale, e deve in ogni caso recare in maniera verificabile la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) oltre a quella dell’ultimo aggiornamento (p.e. ‘scheda creata il gg-mm-aaaa – ultimo aggiornamento avvenuto in data gg-mm-aaaa’).
Il Responsabile del trattamento, ai sensi dell’art. 30 par. 2 del GDPR, deve predisporre un registro di tutte le categorie di attività relative al trattamento svolte per conto del titolare.
Chiarisce il Garante, nel caso in cui uno stesso soggetto agisca in qualità di Responsabile del trattamento per conto di più clienti quali autonomi e distinti Titolari dl trattamento (p.e. le società di software), le informazioni andranno riportate nel registro con riferimento a ciascuno dei suddetti Titolari.
In questi casi il Responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce. Per semplicità il registro del Responsabile potrebbe riportare il rinvio a schede o banche dati anagrafiche dei clienti (Titolari del trattamento), contenenti la descrizione dei servizi forniti.
Infine il Garante chiarisce che in “descrizione delle categorie dei trattamenti effettuati” il Responsabile può far esplicito riferimento a quanto contenuto nel contratto di designazione; allo stesso modo il sub-responsabile potrà riprendere i contenuti del contratto stipulato tra lo stesso e il responsabile del trattamento.