Il regolamento GDPR riguarda la protezione, il trattamento e la libera circolazione dei dati personali. Tra i principali adempimenti c’è anche l’obbligo di compilare e conservare il registro dei trattamenti, ossia un documento dove vengono inserite le informazioni più importanti riguardanti le operazioni di trattamento.
Dal 25 maggio 2018 è entrato in vigore in Italia e in Europa il nuovo regolamento sulla Privacy, ai sensi del Regolamento (UE) 2016/679. Noto come GDPR (General Data Protection Regulation) e pienamente applicabile in tutti gli Stati membri dell’Unione Europea, il regolamento riguarda la protezione, il trattamento e la libera circolazione dei dati personali delle persone fisiche.
Secondo quanto stabilito dal Regolamento Europeo nell'articolo 30 n.679/2016, GDPR, tra i principali adempimenti che fanno capo al titolare e al responsabile del trattamento c’è anche l’obbligo di compilare e conservare con cura quello che viene chiamato l'apposito registro dei trattamenti (registro delle attività di trattamento).
Leggi di più: Il GDPR in Italia [Decreto n.101/18 del 10 agosto 2018]
Che cos’è il registro dei trattamenti [GDPR]
Il registro dei trattamenti (registro delle attività di trattamento) è, in pratica, uno specifico documento dove vengono inserite le informazioni più importanti, indicate dall'art. 30 del GDPR, riguardanti le operazioni di trattamento eseguite dal titolare e, nei casi in cui è nominato, anche dal responsabile del trattamento.
Si può quindi definire uno dei principali documenti di accountability, poiché in grado di fornire una panoramica aggiornata dei relativi trattamenti relativi alla propria attività organizzativa, per poter svolgere le attività di valutazione e le analisi di rischio, ecco perché deve essere eseguito in modo preliminare ad esse.
Il registro delle attività di trattamento deve avere forma sia scritta che elettronica, e deve essere presentato su apposita richiesta al Garante.
Chi deve redigere il registro dei trattamenti [GDPR]
Sono chiamati a redigere il registro tutti i titolari e i responsabili del trattamento.
In particolare, per ciò che concerne il settore privato, le figure obbligate sono:
Responsabili, titolari, organizzazioni o imprese con un numero di dipendenti non superiore a 250, che eseguono trattamenti non occasionali;
Organizzazioni e imprese che hanno a loro servizio un numero di dipendenti minimo di 250;
Responsabili, titolari, organizzazioni o imprese con un numero di dipendenti inferiore a 250, che effettuino trattamenti che anche se non elevato possono rappresentare un rischio per le libertà e i diritti del soggetto in questione;
Responsabili, titolari, organizzazioni o imprese con meno di 250 dipendenti, che eseguono trattamenti relativi alle categorie particolari di dati, o informazioni personali riguardanti condanne penali e altri reati descritti nell'articolo 10 del GDPR.
Al di là dei casi in cui sussista l’obbligo per legge di tenere il registro, il Garante raccomanda a ogni responsabile e titolare del trattamento di redigerlo sempre, in quanto consiste in un documento contenente tutte le informazioni dei trattamenti eseguiti, contribuendo in tal modo a mettere in atto, in maniera semplice e accessibile a chiunque, il principio di accontability e contemporaneamente facilitare l'attività di controllo svolta dal Garante stesso.
Quali sono le informazioni che deve contenere il registro dei trattamenti [GDPR]
Il Regolamento europeo per la tutela della privacy (GDPR) presenta in modo dettagliato tutte le informazioni che deve contenere il registro delle attività del trattamento del responsabile e in quello del titolare.
Più nello specifico si può dire che nel registro dovranno essere annotato tutte le informazioni, scopi del trattamento, modi attuati per la conservazione dei dati, quali misure di sicurezza sono state applicate e tutti i rispettivi aspetti documentali dove si può verificare che sono stati rispettati gli obblighi normativi dettati da parte del nuovo Regolamento Europeo.
Infine, nel registro può essere scritta qualsiasi altro tipo di informazione che il titolare e il responsabile reputino necessaria, come ad esempio le probabili valutazioni eseguite, la modalità della raccolta dei consensi, ecc.
Considerando che il registro dei trattamenti è un documento di censimento e di valutazione dei trattamenti eseguiti dal responsabile o titolare, è necessario che sia aggiornato costantemente. Qualsiasi cambiamento in riferimento alle modalità, categorie di dati, finalità, deve essere subito inserito subito nel registro; in tal caso si richiede che venga indicata, in modo verificabile, la data di creazione per ciascuna scheda in base al tipo di trattamento a cui è riferita, insieme a quella riguardante la data del suo ultimo aggiornamento.
Per evitare di incappare in qualsiasi errore di valutazione o svista è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.
