La tenuta del registro dei trattamenti è prevista dall'articolo 30 del Regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.
L'onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro costituisce uno dei principali elementi di accountability del titolare, in quanto è utile per una completa ricognizione e valutazione dei trattamenti svolti, e quindi finalizzato anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità hanno invitato tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.
Registro dei titolari del trattamento
Nel dettaglio, l'art. 30 prevede che il registro dei titolari del trattamento elenchi almeno le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
b) le finalità del trattamento, distinte per tipologie (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini);
c) una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti) e delle categorie dei dati personali (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.) trattati;
d) i destinatari (anche solo per categoria di appartenenza) a cui i dati personali sono stati o saranno comunicati (compreso gli altri titolari, come gli enti previdenziali cui vanno trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, ma è opportuno indicare anche i responsabili e sub-responsabili ai quali sono trasmessi i dati, come i soggetti ai quali il titolare affidi il servizio di elaborazione delle buste paga dei dipendenti);
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 (è possibile fare riferimento a documenti esterni).
Quali ulteriori elementi si suggerisce di inserire la base giuridica del trattamento. Nel caso di trattamento basato sui legittimi interessi si consiglia di riportare la descrizione del legittimo interesse concretamente perseguito, le garanzie adeguate eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare. Per i trattamenti di dati di cui all'art. 9 del GDPR, è opportuno indicare una delle condizioni di cui all’art. 9, par. 2. In caso di trattamenti di dati relativi a condanne penali e reati, si consiglia di riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del regolamento europeo.
Registro dei responsabili del trattamento
Il paragrafo 2 dell'articolo 30 del GDPR prevede che anche i responsabili del trattamento debbano tenere un registro simile in relazione alle attività svolte per conto del titolare. Il contenuto deve essere il seguente:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento (es. hosting, manutenzione IT, invio di messaggi commerciali);
- dove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Laddove i titolari siano troppi è consentito il rinvio a schede esterne che elenchino nominativamente i singoli titolari riportando i dati previsti dalle norme.
Deroghe
In tema di semplificazioni le imprese o le organizzazioni con meno di 250 dipendenti usufruiscono di una deroga con riferimento alla tenuta del registro, dovendo indicare nello stesso solo i seguenti trattamenti (art. 30 par. 5 che richiama il Considerando 13):
- che possano presentare un rischio (anche non elevato) per i diritti e le libertà degli interessati (es. sistemi di geolocalizzazione, videosorveglianza, ecc.);
- che non siano occasionali (es. gestione del personale, gestione di clienti e potenziali clienti e fornitori, ecc...);
- che includano il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 (cioé dati sensibili o giudiziari).
In tale prospettiva l'autorità di controllo italiana nelle sue linee guida precisa che rientrano nell'obbligo di tenuta del registro:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Per chiarire, la gestione delle buste paga non è un trattamento occasionale, come anche la gestione dei clienti e dei fornitori. Quindi qualsiasi azienda con almeno un dipendente è oobligata alla tenuta del registro.
Il Working Party Article 29 (ora EDPB) ha pubblicato un parere sul registro dei trattamenti (qui il link al parere), nel quale precisa che le tre ipotesi indicate dall'articolo 30, paragrafo, 5, che fanno scattare comunque l'obbligo di tenuta del registro anche per le imprese con meno di 250 dipendenti, non sono alternative, ed è sufficiente che occorra una sola delle condizioni per far scattare l'obbligo di tenuta del registro.
Ad esempio, basta trattare dati personali in modo stabile per essere tenuti alla registrazione dei trattamenti. In tale prospettiva anche una piccola impresa tratta regolarmente i dati dei propri dipendenti (compreso dati sensibili,come un'aspettativa per motivi di salute), un trattamento che non può essere definito occasionale. Anche i liberi professionisti trattano dati personali altrui in maniera non occasionale. Ed anche un sito web con un form di contatti.
Il parere precisa che è sufficiente registrare i soli trattamenti che attivano l'obbligo di tenuta.
Documentazione del registro
Il registro, che è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di verifiche. Ovviamente deve essere costantemente aggiornato e deve anche recare "in maniera verificabile" sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.
Secondo alcuni il registro dovrebbe avere data certa e essere sottoscritto (anche digitalmente), in base all'art. 20, co. 1 bis, del CAD (Codice Amministrazione Digitale). Secondo altri lo si può tenere in forma libera, ad esempio come file spreedshet. La prima tesi in realtà appare non conciliabile con la natura dinamica e in costante evoluzione del registro. Il Garante italiano privilegia la natura fluida del documento. Infatti il registro dei trattamenti non è un documento con valore giuridico che esprime una volontà negoziale del titolare, quanto più un adempimento finalizzato alla documentazione delle scelte dell'azienda.
Comunicazione del registro
Il registro è un documento interno, e come tale non si è tenuti a comunicarlo o condividerlo con nessuno, eccetto ovviamente le autorità in caso di verifica. Le aziende del settore pubblico, invece, sono tenute a comunicare il registro a chiunque lo richieda, trattandosi di un documento amministrativo, ovviamente previo oscuramento delle informazioni vietate ai sensi di legge e che potrebbero nuocere a terzi.
Modello e linee guida
L'autorità di controllo italiana ha predisposto un modello semplificato, insieme a delle FAQ sul registro e sulle modalità di tenuta dello stesso (link al modello e FAQ). Altre modelli sono quello dell'autorità belga, poi tradotto in inglese (link al modello in inglese), e quello francese (link al modello).
Sanzioni
La violazione degli obblighi inerenti la tenuta del registro dei trattamenti comporta l'applicazione di una sanzione fino a 10milioni di euro o, per le imprese, fino al 2% del fatturato annuo dell'esercizio precedente, se superiore (art. 83, par. 4, lett a), GDPR).
