FAQ del Garante sul registro delle attività di trattamento

Posted on 23 ottobre 2018 by Paola Generali in 2018, News

L’8 ottobre il Garante ha pubblicato sul suo sito  le istruzioni sul registro dei trattamenti, adempimento previsto dall’articolo 30 del GDPR.

Funzioni e contenuto del registro dei trattamenti

Tale registro, definito come “un documento contenente le principali informazioni […] relative alle operazioni di trattamento”, deve essere tenuto sia dal Titolare che dal Responsabile del trattamento, e ha un ruolo fondamentale in ottica accountability: permette infatti di “mappare” i trattamenti di dati personali effettuati all’interno della propria organizzazione, attività quest’ultima fondamentale per fare una qualsiasi analisi del rischio e determinare gli aspetti più critici.

Viene evidenziato come tale registro debba:

  • avere forma scritta (va bene anche se tenuto solo in forma elettronica);
  • essere costantemente aggiornato;
  • indicare la data in cui è stato redatto e quelle dei successivi aggiornamenti.

Nelle istruzioni vengono inoltre meglio specificati gli elementi minimi nel registro, elencati genericamente dall’art. 30, parr. 1 e 2 del GDPR. In particolare, vengono offerti dei suggerimenti su come indicare le finalità del trattamento, le misure di sicurezza adottate, gli eventuali destinatari dei dati e i termini per la cancellazione dei dati.

Chi è obbligato ad avere un registro?

Il Garante chiarisce che, di fatto, tutti i Titolari e i Responsabili del trattamento sono tenuti a redigere un registro dei trattamenti, chi in maniera più dettagliata e chi meno.

In particolare, sono obbligati alla redazione del registro:

  • Tutte le imprese e le organizzazioni con più di 250 dipendenti, a prescindere da attività svolte e dati trattati;
  • Qualunque impresa o organizzazione con meno di 250 dipendenti che effettui almeno una delle seguenti attività:
    • Trattamenti che possano presentare un rischio (non deve per forza essere un rischio elevato);
    • Trattamenti non occasionali (come quelli effettuati sui dati relativi ai propri dipendenti);
    • Trattamenti di categorie particolari di dati o di dati relativi a condanne penali e reati.

Viene da sé che chiunque abbia almeno un dipendente e/o effettui trattamenti di dati particolari (il Garante indica qualche esempio, come parrucchieri, estetisti, ottici, odontotecnici e tatuatori) sia obbligato a redigere tale registro.

Precisazione per le PMI: come ben evidenziato anche dal WP29, le imprese con meno di 250 dipendenti possono indicare nel registro le sole attività che ne rendono obbligatoria la redazione (ad esempio, un piccolo commerciante che effettua trattamenti dei dati dei propri dipendenti non sarà tenuto ad indicare nel registro quei dati che sono di fatto “occasionali”, che non presentano un rischio o che non rientrano nelle categorie particolari di dati).

Il registro del Responsabile del trattamento

Altro punto interessante è rappresentato dalle indicazioni sulla redazione del registro del Responsabile. Quando un soggetto opera come Responsabile del trattamento nei confronti di più Titolari (come ad esempio una software house), dovrà tenere nel registro una sezione per ciascuno dei propri clienti, salvo che ciò risulti eccessivamente complesso: se il numero di Titolari per cui lavora è molto elevato, il Responsabile potrà infatti limitarsi ad effettuare un rinvio, ad esempio, a schede o banche dati che contengono la descrizione dei servizi forniti, purché siano indicati gli altri elementi richiesti dall’art. 30 par. 2 del GDPR.

Infine, sempre nell’ottica di semplificazione per le imprese con meno di 250 dipendenti, il Garante ha allegato due modelli di “registro semplificato delle attività di trattamento” per PMI, uno per il Titolare e uno per il Responsabile del trattamento .

 

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *