Che cos’è ? Quando va redatto? Da Chi? Deve essere aggiornato periodicamente? Come e dove deve essere conservato? Queste le domande più frequenti sul Registro dei Trattamenti a far data dall’entrata in vigore del GDPR.
Come ormai ben noto, la redazione del registro dei trattamenti è uno dei principali adempimenti previsti dal Regolamento UE 2016/679 e i contenuti che devono comparire nel registro sono elencati nelle lettere da a) a g) dell’art. 30.1 di seguito riportati.
- Nome e dati di contato del Titolare del Trattamento e, se del caso, del contitolare del trattamento, del rappresentante del titolare del trattamento e della protezione dei dati.
- Le finalità del trattamento
- Una descrizione delle categorie degli interessati e delle categorie di dati personali
- Le categorie dei destinatari
- Se del caso, i trasferimenti verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione dei medesimi e per il trasferimento di cui al comma 2 art 49 (interessi legitimi) la documentazione di garanzie adeguate
- Se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati
- Se possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative
La ratio. Analizzando la prescrizione di tale articolo, ben si comprende come tale adempimento possa – e debba – essere interpretato come la base essenziale per adempiere a tutte le ulteriori indicazioni del GDPR, nonché una grande opportunità per ogni singolo Titolare del trattamento di dati personali per migliorare in toto l’ organizzazione nelle propria attività lavorativa in merito al trattamento dei dati personali effettuato dallo stesso; e ciò in quanto il registro deve offrire la “fotografia” di tutti i trattamenti eseguiti presso e dal Titolare, definendo così la completa organizzazione del Titolare sotto il profilo della protezione dei dati. La conoscenza della propria struttura è infatti il tassello iniziale per enfatizzare azioni vantaggiose e rettificare attività a rischio o contra legem. In altre parole, più si è consapevoli della propria organizzazione in merito al trattamento dei dati, più facilmente si possono individuare criticità e porvi rimedio, nonché al contrario enfatizzare le azioni positive già adottate.
La redazione del Registro dei Trattamenti, a parte la fondamentale e ovvia indicazione del nome o denominazione del Titolare e dei dati di contatto del DPO, implica l’esecuzione di una mappatura dei trattamenti di dati in modo da acquisire le informazioni su finalità dei trattamenti, tipologie di interessati, categorie di dati personali e di destinatari dei medesimi (se del caso, anche in Paesi extra-UE) e – dove possibile, come precisa la disposizione – anche quelle concernenti i termini di cancellazione dei dati nonché una descrizione generale delle misure di sicurezza (tecniche ed organizzative) adottate per la loro protezione.
La modalità e l’aggiornamento. Il registro può essere conservato in modalità cartacea o su supporto elettronico. Di estrema importanza, alla luce di quanto sopra esplicitato, è l’aggiornamento periodico del dello stesso, affinché ne sia mantenuta l’aderenza alla effettiva realtà organizzativa e dunque non vadano perse l’utilità e la ratio di tale adempimento. Si osserva come tale adempimento sia da considerarsi emblematico dei principi fondamentali ed ispiratori del GDPR: responsability ed accountability.
I soggetti tenuti all’adempimento. Il GDPR prescrive la tenuta del Registro non solo da parte del Titolare, ma anche da parte del soggetto nominato Responsabile del trattamento che dovrà indicare il Titolare per cui si effettua il trattamento, le categorie dei dati trattati, gli eventuali trasferimenti in Paesi extra UE e una descrizione generale delle misure di sicurezza adottate.
La norma prescrive che gli obblighi di cui all’articolo 30 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, o non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art.9 par 1 GDPR (e cioè dati sensibili o biometrici) o dati personali relativi a condanne e reati. Nonostante ciò, per quanto sopra riportato, sarebbe opportuno che tutti i Titolari e i Responsabili adottassero il registro dei trattamenti, anche tramite un modello semplificato, ma che consenta loro di avere sempre a disposizione la “fotografia” di tutta l’attività dei dati da loro trattati, al fine di ottimizzare sempre più la propria organizzazione in tal senso.
Le sanzioni. La violazione degli obblighi del Titolare del trattamento e del responsabile del trattamento previsto dall’art.30 comporta sanzioni pecuniarie elevate: fino a € 10.000.000,00 di euro o, per le imprese, fino al 2% di fatturato annuo dell’esercizio precedente, se superiore.
Le raccomandazioni del Garante. Il Garante ha più volte sottolineato che la regolare tenuta del Registro dei Trattamenti non costituisce un adempimento formale bensì è parte integrante di un sistema corretto di gestione dei dati personali e pertanto – proprio e alla luce di quanto sopra esposto – ha invitato tutti i titolari e responsabili del trattamento – a prescindere dalle dimensioni delle proprie realtà aziendali – a compiere i passi necessari a dotarsi di tale registro.
Non bisogna dimenticare che il registro è, sì, un documento a valenza esterna (per rappresentare e documentare all’autorità di controllo l’adempimento delle misure prescritte dal Regolamento e dalle altre disposizioni dell’ordinamento giuridico in materia di data protection), ma finisce per avere un ruolo sistemico e anche una valenza interna (al fine della condivisione delle informazioni in esso contenute con i vari collaboratori/autorizzati, che debbono poter gestire con la dovuta consapevolezza le varie operazioni relative ai trattamenti assegnati).
