Registro delle attività di trattamento
Che cos’è il Registro delle attività di trattamento
Il Registro delle attività di trattamento è un documento prescritto dal GDPR che illustra il quadro dei trattamenti eseguiti, relazionando su parecchi adempimenti e caratteristiche del trattamento. Il Registro delle attività di trattamento è un utile strumento per eseguire un’analisi delle implicazioni di ogni trattamento in essere o pianificato. Il Registro facilita la fattiva valutazione del rischio delle attività di trattamento svolte da titolari e responsabili sui diritti delle persone, e l’identificazione ed implementazioni di adeguate misure di sicurezza per proteggere i dati – entrambi componenti chiave del principio di «accountability» incluso nel GDPR. Deve essere mantenuto aggiornato.
Deve essere tenuto in forma scritta, anche in formato elettronico. Sia i titolari sia i responsabili sono tenuti a redigere il Registro delle attività di trattamento. È da esibire all’autorità di controllo su sua richiesta.
La tenuta e aggiornamento del Registro delle attività di trattamento rientra nel principio di «accountability» che impone di assumere la responsabilità della compliance al GDPR in tutti i suoi requisiti.
Chi è obbligato a tenere il Registro delle attività di trattamento
Come già detto, sia i titolari sia i responsabili. Nel caso dei responsabili, il Registro delle attività di trattamento deve essere tenuto per ogni titolare di cui si trattano di dati, entro i limiti delle istruzioni e delle finalità di trattamento, dei dati e delle categorie di interessati affidati in base a contratto di servizi e nomina di responsabile.
Il GDPR prevede delle deroghe dall’obbligo della tenuta del Registro delle attività di trattamento. L’obbligo non si applica ai titolari e ai responsabili che hanno meno di 250 dipendenti a condizione che:
1. il trattamento non presenta un rischio per i diritti e le libertà della persona
2. il trattamento è occasionale
3. non sono trattati categorie particolari di dati personali o dati relativi a condanne penali e reati.
I tre tipi di trattamento a cui la deroga non si applica sono alternative e se si presenta almeno una condizione allora scatta l’obbligo della tenuta del Registro delle attività di trattamento. Perciò sebbene con meno di 250 dipendenti, i titolari e i responsabili che o trattano dati che possono arrecare rischi (anche se non elevati) ai diritti e alle libertà degli interessati o trattano dati in modo non occasionale o trattano categorie particolari di dati personali o dati relativi a condanne penali e reati sono obbligati alla tenuta del Registro delle attività di trattamento. Per esempio, una piccola azienda è probabile che regolarmente tratti i dati dei propri dipendenti. Conseguentemente, questo trattamento non può considerarsi occasionale e deve essere incluso nel Registro delle attività di trattamento. Viceversa, altre attività di trattamento che sono, a tutti gli effetti, occasionali non devono essere incluse nel Registro delle attività di trattamento, a meno che non possano implicare rischi per i diritti e le libertà degli interessati e non coinvolgano categorie particolari di dati personali o dati relativi a condanne penali e reati.
Sebbene il Registro delle attività di trattamento rappresenti un nuovo adempimento amministrativo, è buona prassi tenere il Registro anche se non si è obbligati, poiché permette di monitorare costantemente le attività di trattamento che si conducono e meglio adeguare le procedure interne ai requisiti del GDPR. Tale prassi è incoraggiata dalle stesse autorità di controllo.
Per facilitare l’obbligo alle micro, piccole e medie organizzazioni le autorità di controllo hanno pubblicato format utili allo scopo. L’autorità di controllo italiana ha messo a disposizione sul proprio sito Internet un modello semplificato (PDF e Excel).
Cosa deve contenere il Registro delle attività di trattamento
Il Registro delle attività di trattamento deve contenere tutte le seguenti informazioni:
1. nome e dati di contatto del titolare, del rappresentante nello Stato del titolare (se applicabile) e del «Data Protection Officer» (se designato)
2. finalità del trattamento
3. categorie dei dati e degli interessati
4. categorie di destinatari cui i dati sono stati o saranno comunicati (inclusi i destinatari in Paesi terzi o organizzazioni internazionali)
5. eventuali trasferimenti di dati personali verso Paesi terzi (con identificazione del Paese) e la documentazione di adeguate garanzie per il trasferimento
6. i termini ultimi per la cancellazione delle differenti categorie di dati
7. generale descrizione delle misure di sicurezza tecniche e organizzative.
Ogni responsabile deve tenere un Registro di tutte le categorie di attività relative al trattamento svolte per conto di ogni singolo titolare, contenente:
1. nome e dati di contatto del responsabile (ed eventuali sub-responsabili) e del titolare per conto del quale i dati sono trattati, del rappresentante nello Stato (se applicabile) e del «Data Protection Officer» (se designato)
2. le categorie di trattamenti eseguiti per conto di ogni titolare
3. eventuali trasferimenti di dati personali verso Paesi terzi (con identificazione del Paese) e le garanzie previste per il trasferimento
4. generale descrizione delle misure di sicurezza tecniche e organizzative.
Nulla vieta, in entrambi i casi, di indicare altre informazioni per meglio descrivere il trattamento e avere uno strumento molto utile per monitorarne la compliance al GDPR. Per esempio, è utile aggiungere o rimandare a policy interne, procedure e altra documentazione o informazioni sul trattamento descritto (es.: base giuridica del trattamento, informazioni ex artt. 13-14, GDPR, origine dei dati, registro degli eventi di «data breach», valutazione di impatto sulla protezione dei dati eventualmente condotta).
Per approfondire, consulta le FAQ o contattami.