La tenuta dei vari Registri del Trattamento
Parte I
Tra le novità più rilevanti introdotte dal Regolamento UE 679/16 (GDPR), dobbiamo annoverare senz’altro il Registro del trattamento delle attività.
Tale adempimento spetta sia al Titolare del trattamento, sia al Responsabile del trattamento come prevede l’art. 30 GDPR.
Tale documento ha fatto nascere in dottrina molte correnti di pensiero ed ad oggi, nonostante le puntuali norme puntuali del Regolamento che lo disciplinano, ciò che prevale come applicabile è la cd. soft law fornita in tema da parte del Garante per la protezione dei dati personali che ha consolidato una prassi condivisa dai più dei consulenti e professionisti della privacy.
Possiamo definire il Registro del trattamento un documento che annovera al suo interno E’ un tutte le più importanti informazioni relative alle operazioni di trattamento poste in essere dal titolare e, , dal responsabile del trattamento ove sia stato nominato da parte di un Titolare.
La tenuta del Registro è sinonimo di accountability.
E’ bene ricordare al lettore cosa si significa tale principio.
Il Regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (artt. 23-25, in particolare, e l’intero Capo IV del regolamento).
Il Registro è quindi una chiara espressione della responsabilizzazione da parte del Titolare (o del Responsabile) perché tale documento è in grado di fornire un quadro aggiornato dei trattamenti in essere all’interno della propria azienda e società ed è elemento imprescindibile per svolgere un’efficace e attenta valutazione o analisi del rischio.
Non è necessario stampare il Registro, potendo quest’ultimo avere sia forma scritta sia forma elettronica.
Ciò che conta davvero è la sua pronta esibizione in caso di ispezione da parte del Garante, in quanto il Registro, proprio per la sua funzione descrittiva d’insieme, è il primo documento che viene richiesto per la relativa verifica di conformità al Regolamento UE 679/16.
Sebbene l’art. 30, par. 1 e 2 del GDPR affermi che tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento, i quali si distinguono, in ambito privato, per le seguenti caratteristiche:
- avere almeno 250 dipendenti;
- oppure, qualora il numero dei dipendenti fosse inferiore, è tenuto qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato o che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
E’ bene sottolineare che rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Per fare alcuni esempi, sono tenuti all’obbligo di redazione del registro:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
In verità, in ossequio a quanto si affermava sopra in termini di accountability, anche le imprese e organizzazioni con meno di 250 dipendenti è auspicabile che redigano tale registro, anche se, alla luce di un numero inferiore di personale dipendente, potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
Ed ancora, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione, in quanto strumento che, fornendo una fotografia di tutti i trattamenti svolti da parte dei titolari e responsabili del trattamento, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Sul punto, si rinvia alla lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora EBP, Comitato europeo per la protezione dei dati).
Rimandando ad un maggior approfondimento su come nel concreto compilare il Registro del trattamento, è bene evidenziale che quello ex art 30 GDPR non è l’unico Registro da tenere archiviato da parte del Titolare per essere compliant al GDPR.
Si uniscono a quest’ultimo documento anche il Registro del Responsabile del trattamento, non chè quello della formazione GDPR e in ultimo, non di certo per importanza, quello relativo alla necessità di registrare tutte le informazioni in caso di data breach, ossia in caso di il titolare del trattamento sia vittima diun incidente di sicurezza caratterizzato da un evento (o una serie di eventi) di origine dolosa o accidentale, esterno o interno all’organizzazione, che può comportare la compromissione dei dati detenuti da un’organizzazione, mettendo a rischio uno o più dei tre principi della sicurezza delle informazioni: riservatezza, integrità e disponibilità.