PRIVACY – REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
ISTRUZIONI E MODELLO SEMPLIFICATO DEL GARANTE
Il Garante per la protezione dei dati personali, lo scorso 8 ottobre, ha diffuso sul proprio sito le istruzioni necessarie per la predisposizione del Registro delle attività di trattamento, previsto dall’articolo 30 del GDPR.
Per agevolare le piccole e le medie imprese è stato predisposto un modello di registro semplificato sia per il titolare che per il responsabile ed è stato anche predisposto un documento in cui sono state raccolte insieme le risposte alle domande più ricorrenti (FAQ).
In particolare, l’Autorità ricorda che il registro è uno strumento idoneo a fornire un quadro aggiornato di tutti gli adempimenti a carico del titolare e, se nominato, del responsabile del trattamento. Il registro costituisce uno dei principali elementi di accountability e deve essere messo a disposizione dell’Autorità garante per le ispezioni e per i controlli.
Nel documento di domande e risposte, predisposto dall’Autorità, si ricorda che sono obbligati alla redazione del registro:
- le imprese o le organizzazioni con almeno 250 dipendenti;
- chiunque effettua trattamenti che (i) possano presentare un rischio per i diritti e le libertà dell’interessato o (ii) di categorie particolari o (iii) di dati personali relativi a condanne penali ed a reati (art. 30 GDPR).
Sul punto il Garante chiarisce che rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, le fondazioni ed i comitati.
L’Autorità interviene ad elencare, a titolo esemplificativo, una serie di attività che rientrano nell’obbligo di redazione del registro:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Nelle Faq il Garante consiglia la redazione del registro anche al di fuori dello stretto obbligo in quanto ritiene che il registro contribuisca a meglio attuare il principio di accountability e ad agevolare in maniera “dialogante e collaborativa l’attività di controllo del Garante stesso”.
Il GDPR individua dettagliatamente le informazioni che devono essere contenute nel registro predisposto dal titolare o dal responsabile.
In particolare, con riferimento ai contenuti, il Garante rappresenta quanto segue:
- “finalità del trattamento” oltre all’indicazione delle finalità, che deve essere distinta per tipologie di trattamento, sarebbe opportuno indicare anche la base giuridica del trattamento; inoltre, in caso di trattamenti di “categorie particolari di dati”, è opportuno indicare una delle condizioni per cui è contemplato il trattamento dei dati; in caso di trattamenti di dati relativi a condanne penali e reati sarebbe, invece, opportuno riportare la specifica normativa che ne autorizza il trattamento.
- nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
- nel campo “le categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati sia gli altri titolari a cui sono stati comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi) che gli altri soggetti a cui il titolare ha trasmesso i dati (responsabili e sub-responsabili del trattamento ad es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento);
- in merito ai “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” sarà necessario fornire un’informazione relativa ai suddetti trasferimenti, specificando il Paese in cui i dati sono trasferiti e alle “garanzie” adottate;
- nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
- nella parte relativa alla “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare. Le misure potranno essere descritte in forma riassuntiva e sintetica e comunque si potrà fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
Il registro dei trattamenti è un documento che deve essere mantenuto costantemente aggiornato, che può essere compilato sia in formato cartaceo che elettronico, ma che deve in ogni caso recare in maniera verificabile la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) insieme a quella dell’ultimo aggiornamento (ad esempio: “- scheda creata in data XY” l”- ultimo aggiornamento avvenuto in data XY”).
Il responsabile del trattamento, ai sensi dell’art. art. 30, par. 2 del RGPD, deve predisporre un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare.
Tuttavia, chiarisce il Garante, nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari.
In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce. Per semplicità il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti. Da ultimo il Garante chiarisce che nella “descrizione delle categorie di trattamenti effettuati” il responsabile può far riferimento a quanto contenuto nel contratto di designazione e allo stesso modo il sub-responsabile potrà riprendere i contenuti del contratto stipulato tra lo stesso e il responsabile del trattamento.