PRIVACY E TRASPARENZA

Principio di accountability (responsabilizzazione e obbligo di rendicontazione)

Registro dei trattamenti

Art. 30 reg. UE 2016/679

Per essere in grado di dimostrare la conformità ed essere ritenute responsabili, i soggetti - tanto pubblici quanto privati - hanno spesso l’obbligo giuridico di documentare e registrare le loro attività. Così accade anche in tema di protezione dei dati personali rispetto a tutte le operazioni di trattamento che sono svolte.

DEFINIZIONE

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal Titolare e, se nominato, dal Responsabile del trattamento.

CHI È OBBLIGATO

Sono obbligati alla redazione del registro sia i Titolari del trattamento sia i Responsabili del trattamento. 

In ambito privato, i soggetti obbligati sono i seguenti:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1, GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10, GDPR.

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, sono invitati tutti i Titolari di trattamento e i Responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

CONTENUTO DEL REGISTRO DEI TRATTAMENTI

Le informazioni da documentare comprendono:

  • nome e dati di contatto del titolare del trattamento e del contitolare del trattamento, del rappresentante del titolare del trattamento e del RPD, ove applicabile;
  • finalità del trattamento;
  • descrizione delle categorie di interessati e delle categorie di dati personali connessi al trattamento;
  • informazioni sulle categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  • informazioni che indichino se sono stati effettuati, o saranno effettuati, trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali; o
  • ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati personali, nonché una descrizione generale delle misure tecniche adottate per garantire la sicurezza del trattamento.

Il GDPR non individua un termine standard per la conservazione dei dati. L'art. 5, par. 1 lett. e) indica che devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; e che possono essere conservati per periodi più lunghi esclusivamente per finalità di pubblico interesse, di ricerca scientifica o storica o a fini statistici. In sede di predisposizione dell'informativa, inoltre, ai sensi dell'art. 13, par. 2, lett. a) il Titolare comunica all'interessato il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Oltre a quanto stabilito dall'art. 30 GDPR, il Titolare o il Responsabile può introdurre ogni altra informazione che ritenga utile riportare nel registro.

FORMA DEL REGISTRO

Esso deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta formulata dal Garante per la protezione dei dati personali. 

Per approfondimenti si rinvia, tra gli altri, anche alle Faq sul registro delle attività di trattamento del Garante per la protezione dei dati. Il Garante ha anche fornito due modelli di registro semplificato, rispettivamente per il Titolare e per il Responsabile del trattamento.