Chi è obbligato a tenere il Registro Trattamenti?
REDIGERE E AGGIORNARE IL REGISTRO TRATTAMENTI: LE ISTRUZIONE DEL GARANTE.
L’8 ottobre 2018 il Garante della Privacy ha pubblicato le istruzioni per la tenuta e per la compilazione del Registro Trattamenti. Per dimostrare il rispetto della norma è essenziale conoscere con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza.
Il Garante si rivolge a tutti i responsabili del trattamento sono tenuti a redigere il Registro Trattamenti (v. art. 30, par. 1 e 2 del RGPD).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del Registro Trattamenti alle sole specifiche attività di trattamento sopra individuate.
Al di fuori dei casi di tenuta obbligatoria del Registro Trattamenti, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
L’art. 30 del GDPR, oltre a prevedere che il Registro Trattamenti debba essere tenuto in forma scritta, anche in formato elettronico ed essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:
- Nome e i dati di contatto del titolare del trattamento, eventuale contitolare o rappresentante e responsabile della protezione dei dati;
- Finalità e base giuridica del trattamento;
- Descrizione delle categorie di interessati e delle categorie di dati personali trattati;
- Categorie di destinatari a cui i dati personali sono o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- Trasferimenti dei dati verso un paese terzo o un’organizzazione internazionale, identificandoli e garantendo le garanzie adeguate;
- Termini previsti per la cancellazione delle diverse categorie di dati;
- Descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32.
Il Registro Trattamenti non è quindi un mero adempimento formale ma uno strumento operativo, ed è possibile integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.
Alla luce di questo, il Registro Trattamenti è uno strumento fondamentale per mappare i flussi di dati all’interno dell’organizzazione.
È importante capire che il Registro Trattamenti non è un documento statico ma un vero e proprio strumento di lavoro che deve essere modificato e mantenuto aggiornato costantemente.
Per raggiungere questo scopo è fondamentale innanzitutto individuare, all’interno dell’organizzazione, i soggetti che hanno la più ampia visione delle attività di trattamento e coinvolgerli nella redazione e aggiornamento del registro dei trattamenti, responsabilizzandoli sull’importanza di tale attività.
Il Registro Trattamenti dovrebbe essere gestito in maniera centralizzata, garantendo l’accesso a tutte le persone coinvolte nel suo mantenimento.
Una gestione di questo tipo presenta evidenti complessità anche in relazione allo strumento utilizzato: un foglio Excel, per quanto valido, non potrà mai offrire la necessaria elasticità e profondità di strumenti realizzati per questo scopo.
Sarebbe meglio utilizzare un software nato specificamente per gestire questo tipo di adempimenti, come ad esempio quello messo a disposizione da Studio Donati.
Infatti, oltre a garantire un servizio professionale di gestione e adattamento dell’azienda al GDPR, la Studio Donati mette a disposizione lo strumento che consente la compilazione e la gestione del Registro Trattamenti oltre alla gestione operativa di tutti i passaggi necessari al rispetto del GDPR.
La gestione del Registro Trattamenti richiede un grande impegno ed è probabile che molti titolari lo affronteranno per paura di incorrere nelle sanzioni amministrative pecuniarie (fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente), o non lo affronteranno assumendosi il rischio.
Chi deciderà di impegnare risorse ed energie in tale progetto avrà una mappatura ordinata e organizzata che, da un lato in caso di visita ispettiva da parte del Garante dimostrerà attenzione alle tematiche di protezione dei dati personali; dall’altro consentirà all’organizzazione di tenere sotto controllo quali tipi di dati sono in fase di trattamento, da chi e per quali scopi.
Tale conoscenza consentirà ai titolari di ottimizzare le operazioni di trattamento limitando gli sprechi in termini di tempo e risorse, abbattendo oltretutto i rischi di eventuali trattamenti illeciti o contestazioni.
Se vuoi saperne di più iscriviti al webinar Registro dei Trattamenti del 15 novembre 2018.