hanno visto questa sezione: visitatori dal 1 gennaio 2010

Line guida sulla tenuta dei registri di trattamento
1. In cosa consiste e perché è previsto il registro delle attività di trattamento
Il registro di trattamento è previsto dall’art. 30 del Regolamento (EU) n. 679/2016 ( “GDPR o RGPD”).
Si tratta di un documento che deve contenere le principali informazioni relative alle operazioni di trattamento svolte dall’impresa titolare ed eventualmente anche da chi svolge il compito di responsabile del trattamento di dati di altri titolari.
Si tratta di uno strumento non solo “obbligatorio” – sia pure entro certi limiti - ma anltresì un eccellente mezzo per dimostrare la corretta valutazione e il giusto trattamento dei dati da parte del titolare: esso infatti deve fornire un quadro aggiornato dei trattamenti compiuti dall’impresa, preliminare per ogni valida attività di valutazione o analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta delle autorità ispettive.
2. Chi sono i soggetti obbligati alla tenuta del registro
La norma prevede che siano obbligati a tenere il registro
• Le imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse quindi le imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – non necessariamente elevato – per i diritti e le libertà degli interessati;
• qualunque titolare o responsabile (incluse quindi le imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9 del GDPR (i cosiddetti dati sensibili) o dati personali a condanne penali e a reati di cui all’articolo 10 RGPD.
• qualunque titolare o responsabile (incluse quindi imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
L’interpretazione dell’ultima ipotesi è oggetto di controversia fra gli operatori, ma il Garante ha ritenuto – unitamente al Gruppo di lavoro dei Garanti Europei (con provvedimento del 19 aprile 2018), di fornire una interpretazione penalizzante della norma, arrivando a dichiarare che “tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento”.
Da segnalare che nel novero delle “organizzazioni” indicate nell’art. 30, comma 5 del GDPR, rientrano anche le associazioni, fondazioni e i comitati, sicchè il registro deve esser tenuto anche da chi non svolge attività di impresa.
Ne consegue che sono tenuti, secondo l’interpretazione del Garante, a tenere i registri:
- esercizi commerciali, esercizi pubblici o artigiani (quindi: bar, ristoranti, negozi di vicinato, piccola distribuzione, officine, falegnami, elettricisti, parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.), nonché imprese industriali che, anche in alternativa:
a) abbiano almeno un dipendente
b) trattino dati sanitari dei clienti;
- liberi professionisti (Avvocati, commercialisti, notai, medici, osteopati, fisioterapisti, farmacisti, ingegneri, architetti ecc.) che, anche in alternativa:
a) abbiano almeno un dipendente
b) trattino dati sanitari e/o dati relativi a condanne penali o reati
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” (dati sensibili o relativi a condanne penali o reati. Si pensi a Enti o associazioni a tutela di soggetti c.d. “vulnerabili”, o che si occupino di questioni discriminatorie (razza, genere, preferenze sessuali, politiche, religiose; associazioni sportive che trattino dati sanitari; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso, associazioni di categoria;
- sempre secondo il Garante, è tenuto alla compilazione del registro anche il condominio, ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche; richieste di risarcimento danni che riguardino sinistri condominiali che abbiano portato a danni alla salute delle persone, ecc)
Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti potranno comunque beneficiare di alcune misure di semplificazione. In particolare, potranno limitare le registrazioni alle sole specifiche attività di trattamento che competono all’impresa. (Es. Se il trattamento per cui è obbligatoria la tenuta del registro fosse esclusivamente inerente i dati di un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di dati).
3. Cosa contiene il registro di trattamento
Il Regolamento elenca con una certa precisione gli elementi che debbono essere inseriti nel registro, sia quanto al titolare sia quanto al responsabile.
Si può sintetizzare quanto segue:
(a) “finalità del trattamento”, voce sotto la quale si devono indicare gli scopi che si prefiggono col trattamento dei dati, da distinguere in base alle varie tipologie di trattamento (es. trattamento dei dati dei dipendenti => per la gestione del rapporto di lavoro; trattamento dei dati di contatto e bancari dei fornitori => per la gestione degli ordini e pagamenti, trattamento dati di contatto di clienti => per proporre contratti o vendere beni e servizi ecc).
(b) “base giuridica del trattamento” ossia una delel sei basi previste dall’art 6 (Adempiere ad un contratto, obbligo di legge, legittimo interesse, interesse vitale dell’interessato, consenso, adempimento di pubblica funzione). In particolare per il “legittimo interesse” appare utile l’indicazione del raffronto fra gli interessi del titolare e quelli degli interessati.
(c) “categorie di interessati” (es. clienti, fornitori, dipendenti)
(d) “categorie di dati personali” (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
(e) “categorie di destinatari a cui i dati sono stati o saranno comunicati”: vanno indicati, appunto per categorie, i titolari cui i dati sono destinati a venir comunicati (es. enti previdenziali quanto ai dati dei dipendenti, agenzie fiscali in merito a dati del fatturato, medici del lavoro, tenutari di contabilità o di elaborazione paghe, ecc)
(f) “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale”: verrà riportata l’informazione relativa ai trasferimenti all’estero, con l’individuazione del Paese stesso e delle “garanzie” a ciò sottese (valutazioni di adeguatezza del Paese terzo, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);
(g) “termini ultimi previsti per la cancellazione delle diverse categorie di dati”: occorrerà indicare i tempi di cancellazione dei dati in base alle singole tipologie di dati, di trattamenti e in base alle finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”; per svolgimento di marketing: 2 anni, e così via). Quando appaia difficile stabilire a priori un termine di cancellazione, i tempi di conservazione potranno essere individuati basandosi su criteri legali o prassi settoriali.
(h) “descrizione generale delle misure di sicurezza”. Andranno qui indicate le misure tecnico-organizzative adottate dal titolare per garantire la sicurezza della conservazione e del trattamento. Tali criteri devono adeguarsi allo sviluppo della tecnologia ed essere adeguati in base al rischio e alle capacità dell’impresa.
(i) Altre informazioni facoltative ma utili, quali, ad esempio, le modalità di raccolta del consenso, l’indicazione di eventuali “referenti interni”, l’individuazione dei sistemi gestionali ecc.
4. Come conservare e aggiornare il registro
Il registro deve essere mantenuto costantemente aggiornato e le informazioni ivi contenute devono corrispondere agli effettivi trattamenti ed all’effettivo stato di fatto del titolare.
Ne consegue che ogni cambiamento (modalità o finalità del trattamento, categorie di dati, categorie di interessati), deve essere immediatamente inserito nel Registro, documentando e conservando le modifiche stratificatesi nel tempo.
Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso consentire la verifica della data della sua prima istituzione, della data di creazione di ciascuna scheda, e di ogni aggiornamento.
5. Registro del responsabile
Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).
In merito alle modalità di compilazione dello stesso si segnala:
a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. commercialista, società di software house che svolga servizi cloud ecc), le informazioni devono essere riportate nel registro con riferimento a ciascuno dei suddetti clienti-titolari. In altre parole, il responsabile dovrà suddividere il registro in tante sezioni/schede quanti sono i titolari per conto dei quali agisce.
b) Secondo il parere del Garante, peraltro non supportato adeguatamente sul piano normativo, “ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD”;
c) Deve venir indicata una “descrizione delle categorie di trattamenti effettuati”. Si dovrà dunque individuare:
a. la natura e la finalità del trattamento,
b. il tipo di dati personali
c. le categorie di interessati oggetto del trattamento
d. la durata del trattamento
d) in caso di sub-responsabile, il registro delle attività di trattamento indicherà altresì il riferimento alle indicazioni di cui ai punti precedenti, traendole dal contratto fra detto sub responsabile ed il responsabile.


Avvocato Enrico Candiani