L’articolo 30 del GDPR, il Regolamento Europeo in materia dati personali che ha modificato profondamente la legge 196/2003 e l’intero sistema della privacy per aziende e organizzazioni, prevede espressamente la tenuta dei registri dei trattamenti. Viene infatti stabilito che, al fine di dimostrare la corretta applicazione del Regolamento, e delle leggi nazionali attuative, il titolare del trattamento o il responsabile se nominato, debbano tenere sotto la sua/loro responsabilità un registro delle attività di trattamento. Si tratta anche di un indice di corretta gestione che potrà essere valutato non solo ai fini di applicazione della normativa, ma nell’ipotesi, non certo improbabile, che l’adeguamento al GDPR venga inserito tra i requisiti essenziali per partecipare ad appalti pubblici. L’articolo 30 del Regolamento trova fondamento già nelle premesse: in particolare al n. 60 nel quale, con una traduzione non certo impeccabile, si indica come obbligatoria la tenuta dei registri delle attività di trattamento che dovranno essere messi a disposizione delle Autorità di controllo ai fini del monitoraggio.

In ogni caso una corretta tenuta del registro appare opportuna anche ai fini dell’analisi del rischio e alla pianificazione dei trattamenti, vale a dire nel rispetto della linea di condotta da tenere in base al principio dell’accountability, cioè il principio che è alla base del GDPR. La corretta tenuta di tali libri sarà uno strumento utile per dimostrare, in caso di ispezioni, di essere conforme nel trattamento dati personali.

Del resto, per i principi previsti che sono alla base del regolamento n. 679/2016, non è sufficiente approntare le misure di protezione più confacenti ad ogni singola situazione per essere conformi, ma occorre anche procurarsi la giusta documentazione, redatta e conservata in maniera puntuale e aggiornata, per provare di essere intervenuti al fine di ottimizzare i trattamenti di dati personali effettuati, dimostrando di aver tenuto in debito conto la tutela dei diritti degli interessati. Il registro sarà quindi un documento, cartaceo o elettronico, che deve contenere tutti gli elementi indicati nell’articolo 30:  tra questi dati e riferimenti del titolare del trattamento, finalità del trattamento, descrizione delle categorie degli interessati e i loro dati, indicazioni per modalità di cancellazione, le misure di sicurezza adottate. Opportuno comunque inserire tutte le informazioni che di volta in volta saranno ritenute necessaire per avere una mappatura costantemente aggiornata delle procedure e dei dati conservati. Allo stesso modo ogni responsabile di trattamento dovrà tenere un registro di ogni attività compiuta per conto di un titolare, contenente sostanzialmente tutti i dati e gli elementi del registro principale. Apparentemente un doppione dell’altro ma indispensabile per un responsabile ai fini di dimostrare la corretta esecuzione del proprio incarico.

Esentati dalla tenuta del trattamento sono le imprese o organizzazioni sotto i 250 dipendenti, salva le ipotesi che:

• vengano trattati dati la cui tenuta e gestione presentino un rischio per i diritti e le libertà dell’interessato ovvero se il trattamento sia relativo alle sue vicende penali o dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale;
• vengano trattatti dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona di cui all'articolo 9, paragrafo.

Sul punto è decisamente interessante il parere del Gruppo Articolo 29 (il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati), che ha precisato come sia sufficiente che ricorra una soltanto delle condizioni previste dall’art. 30 del GDPR per far scattare l’obbligo di tenuta del registro. In sintesi un trattamento stabile dei dati che è, di fatto, un’attività quotidiana di chiunque venga in possesso di dati personali degli interessati.

Ciò coinvolge ed obbliga alla tenuta dei registri non soltanto ogni azienda che conservi, ad esempio, i dati relativi alla salute dei propri dipendenti, ma anche tutti i liberi professionisti e i siti web con form di contatti. Si tratta di un’interpretazione decisamente restrittiva della norma, ma opportuna per spingere ogni azienda o organizzazione ad una corretta tenuta di registri che potranno rivelarsi indispensabili anche ai fini dell’organizzazione.

Ed in tal senso non deve mai passare in secondo piano la circostanza che l’autorità di controllo è legittimata a richiedere la disponibilità del registro per poterlo esaminare e, nel caso, emettere le sanzioni previste per irregolarità nella sua tenuta. In questo contesto normativo e applicativo, difficile sostenere che, di fatto, la tenuta dei registri non divenga obbligatoria per chiunque. In ogni caso è fortemente consigliata e apre la strada all’opportunità per ogni Titolare di nominare un DPO a fini di maggiore garanzia e tutela per se stesso prima ancora che dei dati conservati e trattati.