Privacy – FAQ del Garante sul Registro dei trattamenti

Sono state pubblicate lo scorso 8 ottobre, sul sito istituzionale dell’Autorità Garante per la protezione dei dati personali, leFAQ relative alla tenuta del Registro delle attività di trattamento, ai sensi dell’art. 30 del Reg. UE 2016/679 (GDPR).
 
In particolare, con riferimento a coloro che sono tenuti a redigere e aggiornare il Registro è stato chiarito che il riferimento è a tutti i titolari e i responsabili del trattamento ed, in particolare, nel settore privato a:
1)    imprese e organizzazioni con almeno 250 dipendenti;
2)    ogni titolare o responsabile (comprese le imprese o le organizzazioni con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
3)    ogni titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
4)    ogni titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti di dati “sensibili” o “giudiziari”.
 
E’ stato, inoltre, chiarito che per organizzazioni si intendono anche gli esercizi commerciali e pubblici, i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari, penali etc…, le associazioni, le fondazioni, i partiti politici e i sindacati.
 
Le imprese e le organizzazioni con meno di 250 dipendenti potranno, comunque, beneficiare di alcune misure di semplificazione, potendo circoscrivere la redazione del registro solo per le attività di trattamento (es. se il trattamento di categorie particolari di dati si riferisce a quelli inerenti un solo dipendente, potrà essere predisposto solo con riferimento a tale tipologia di trattamento).
 
Il Garante consiglia, comunque, la redazione del registro a tutti i titolari e responsabili del trattamento, in quanto rappresenta uno strumento idoneo a comprendere la tipologia di trattamenti svolti e a garantire il corretto adeguamento alle previsioni introdotte dal Regolamento.
 
Con riferimento, poi, alle informazioni che deve contenere il Registro, sono state riportate nel dettaglio le indicazioni per la compilazione di ogni singolo campo:
a)    finalità del trattamento: indicare le diverse finalità distinte per ogni trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro), indicando anche la base giuridica;
b)    descrizione delle categorie degli interessati: (es. clienti, fornitori, dipendenti) e descrizionedelle categorie dei dati personali(dati anagrafici, sanitari, genetici, relativi a condanne penali etc…); 
c)    destinatari a cui i dati sono stati o saranno comunicati: indicare, anche per categoria, gli altri titolari cui sono inviati i dati (es. enti previdenziali) e i responsabili o sub-responsabili del trattamento cui siano trasmessi i dati dal titolare (es. soggetto a cui affidare l’elaborazione delle buste paga);
d)    trasferimenti dei dati personali verso un paese terzo o un’organizzazione internazionaleindicare il Paese cui sono trasferiti e le eventuali Garanzie adottate dal Paese stesso;
e)    termini ultimi previsti per la cancellazione delle diverse categorie di dati:indicare tempi di cancellazione per tipologia e finalità di trattamento (es. per rapporto di lavoro i dati saranno conservati per 10 anni);
f)     descrizione generale delle misure di sicurezza: descrizione, in forma riassuntiva e sintetica, delle misure tecnico organizzative adottate dal titolare in relazione ad ogni attività.
 
Il Garante ha inoltre chiarito che il Registro potrà contenere anche elementi ulteriori, ritenuti utili dal titolare, quali, ad esempio, il riferimento all’eventuale presenza di un “referente interno”.
 
Relativamente, poi, alla modalità e alla conservazione del Registro, è stato ribadito che lo stesso deve essere costantemente aggiornato e contenere informazioni corrispondenti ai trattamenti effettivamente svolti. Può essere compilato sia in formato cartaceo che elettronico e deve riportare la data di prima istituzione e la data dell’ultimo aggiornamento.
 
Sono state, infine, fornite indicazioni in merito al Registro dei responsabili del trattamento: è stato specificato che il responsabile dovrà indicare nel Registro le informazioni relative ad ogni singolo titolare per il quale opera, riportando il riferimento del contratto di designazione per l’individuazione della natura e della finalità del trattamento.
 
Per quanto non riportato nella presente, si rinvia alle FAQ e ai due modelli di Registro emanati dal Garante, consultabili al seguente link: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento