Temi

Shape 5 Live Search

logo

La tenuta del registro dei trattamenti è prevista dall'articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti. 

L'onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme. 

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di verifiche. 

 

Registro dei titolari del trattamento

Il registro deve elencare una serie di informazioni: 
a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO); 
b) le finalità del trattamento
c) una descrizione delle categorie di interessati e delle categorie dei dati personali
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; 
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; 
f) dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; 
g) dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 

 

Registro dei responsabili del trattamento

Il paragrafo 2 dell'articolo 30 del GDPR prevede che anche i responsabili del trattamento debbano tenere un registro simile in relazione alle attività svolte per conto del titolare. Il contenuto deve essere il seguente: 
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; 
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; 
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; 
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 

 

Esenzioni

Sono esentate dall'obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato: 
- possa presentare un rischio per i diritti e le libertà degli interessati
- non sia occasionale, 
- o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 (cioé dati sensibili o giudiziari). 

 

Parere del Gruppo Articolo 29

Il Working Party Article 29 (ora EDPB) ha pubblicato un parere sul registro dei trattamenti (qui il link al parere), nel quale precisa che è sufficiente che occorra una sola delle condizioni previste dall'articolo 30 per far scattare l'obbligo di tenuta del registro. Per cui basta trattare dati personali in modo stabile per essere tenuti alla registrazione dei trattamenti. 
In tale prospettiva occorre ricordare che qualsiasi azienda tratta dati sensibili (relativi alla salute) dei propri dipendenti (ad esempio, un'aspettativa per motivi di salute). Anche i liberi professionisti trattano dati personali altrui in maniera non occasionale. Ed anche un sito web con un form di contatti. 

Tale interpretazione appare in contrasto con quella dell'Autorità di controllo italiana che ha precisato sul suo sito che tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. In tal senso sarebbe sufficiente avere meno di 250 dipendenti e non effettuare trattamenti a rischio, laddove l'interpretazione del WP29 (che è successiva, e il Garante italiano fa parte del WP29) è più restrittiva. 

Il parere del WP29 chiarisce che è sufficiente registrare i soli trattamenti che attivano l'obbligo di tenuta, e invitano le Autorità nazionali a proporre sui propri siti un modello di registro semplificato per le piccole e medie imprese. 

 

Modello

L'autorità di controllo belga ha predisposto un modello non ufficiale del registro, poi tradotto in inglese (link al modello in inglese)