Registro dei trattamenti: le istruzioni del Garante

Con il comunicato stampa di una settimana fa, il Garante per la protezione dei dati personali ha pubblicato una serie di linee guida per la compilazione del registro trattamenti, specificando anche, come annunciato nel decreto legislativo n.101/2018, alcune regole e modalità semplificate per le PMI.

Cos’è il registro dei trattamenti?

Secondo le indicazioni del Garante Privacy la creazione e la compilazione del registro dei trattamenti rappresenta, per imprese e organizzazioni, un adempimento di prioritaria importanza per adeguare il proprio sistema privacy ai contenuti del GDPR.

Il registro, che dev’essere predisposto dal titolare e dal responsabile del trattamento, ha lo scopo di tenere traccia di tutte le informazioni relative alle operazioni di trattamento svolte da un’organizzazione.

In ottica di accountability ha una rilevanza assoluta in quanto permette di disporre sempre di un quadro completo e aggiornato dei trattamenti e di adottare, in base alla natura delle informazioni e dei rischi, le misure più adeguate per la loro protezione.

Per questa ragione il Garante Privacy ne suggerisce la tenuta a tutte le imprese, a prescindere dalla presenza o meno delle condizioni (art. 30) che impongono la sua obbligatorietà.

La forma del registro dei trattamenti e i soggetti obbligati

Secondo le istruzioni pubblicate dall’autorità garante per la protezione dei dati personali, il registro dei trattamenti deve essere compilato in forma scritta, in modalità cartacea ed elettronica.

L’obbligo riguarda i seguenti soggetti:

• Imprese ed organizzazioni con almeno 250 dipendenti.
• Qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio - anche non elevato - per i diritti e le libertà dell’interessato.
• Qualunque titolare o responsabile che effettui trattamenti non occasionali, rientrano in questo punto anche aziende ad esempio di 10 dipendenti.
• Qualunque titolare o responsabile che effettui trattamenti di categorie particolari di dati di cui all’art. 9 del regolamento, o di dati personali relativi a condanne penali e a reati di cui all’art. 10.

Come compilare il registro dei trattamenti?

L'Autorità Garante per la protezione dei dati personali ha fornito le seguenti istruzioni:

• Nel campo “finalità del trattamento” oltre all’indicazione delle stesse, distinta per tipologie di trattamento, è opportuno indicare anche la base giuridica.
• Nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” vanno indicate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.).
• Nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” vanno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari a cui verranno comunicati i dati. Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali - in qualità di responsabili e sub-responsabili del trattamento - verranno trasmessi i dati da parte del titolare.
• Nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” dev’essere riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese i cui i dati sono trasferiti e alle “garanzie” adottate per il trasferimento.
• Nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” vanno individuati i tempi di cancellazione per tipologia e finalità di trattamento. Dove non sia possibile stabilire a priori un termine massimo, è possibile indicare il criterio utilizzato per determinarlo.
• Nel campo “descrizione generale delle misure di sicurezza”  occorre indicare le misure sia tecnico che organizzative adottate dal titolare ai sensi dell’art.32 del GDPR tenendo presente che l’elenco riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere.

Indicazioni e modello semplificato per le PMI

Il Garante chiarisce che le imprese e organizzazioni con meno di 250 dipendenti ma obbligate alla tenuta del registro, possono beneficiare di alcune misure di semplificazione.

A queste condizioni l’obbligo di registro riguarda soltanto singole attività di trattamento che coinvolgono dati particolari o sottoposti a comprovare situazioni di rischio. Per fare un esempio possiamo considerare un’impresa in cui un trattamento di dati particolari è riferito a un solo soggetto. In tale situazione il registro sarà obbligatorio esclusivamente con riferimento a tale limitata tipologia di trattamento.

In ogni caso per semplificare il rispetto degli adempimenti previsti dal GDPR alle PMI, il Garante Privacy ha pubblicato l’8 ottobre 2018 due modelli relativi al registro semplificato per il responsabile del trattamento e per il titolare. Scaricali qui.

Per approfondire la tematica del registro dei trattamenti puoi consultare la nostra guida, (ovviamente in linea con i consigli del Garante),  oppure metterti direttamente in contatto con noi.