Registro delle attività di trattamento dei dati personali: cosa è, come si redige, quali informazioni deve contenere, perché va costantemente aggiornato?

Registro delle attività di trattamento: che cosa è?

Iniziamo dai fondamentali: che cosa è il registro delle attività di trattamento dei dati personali? Nei fatti è un documento che deve contenere le principali informazioni riguardanti le operazioni di trattamento dei dati personali svolte

• dal titolare del trattamento dei dati
• se nominato, dal responsabile del trattamento dei dati per conto del titolare del trattamento dei dati.

Il registro consente di tracciare e monitorare tutte le attività di trattamento dei dati personali operate dal titolare del trattamento o dal responsabile dello stesso. E' uno dei principali elementi di accountability del titolare. Ricordiamo infatti che il GDPR prevede, tra i principi cardine, l'accountability, traducibile "rozzamente" in responsabilizzazione. In breve il Regolamento prevede che il titolare del trattamento dei dati non solo tratti "responsabilmente" i dati che gli interessati gli concedono, ma anche che sia in grado di dimostrare questa responsabilità e la conformità alla normativa privacy. Tra i documenti che costituiscono quindi "l'accountability" del titolare, il registro delle attività di trattamento dei dati assume un ruolo centrale e chiave. La redazione e il mantenimento del registro delle attività di trattamento è considerata indice di corretta gestione dei trattamenti dati.

Per approfondire > Il principio di Accountability nel GDPR e i documenti utili

Non è un caso che il Registro delle attività di trattamento dei dati sia uno dei primi documenti richiesti dal Nucleo Speciale della Guardia di Finanza in corso di ispezione.

Per saperne di più > Ispezioni Garante Privacy? Niente panico, ecco cosa fare

Registro Trattamento Dati Personali: l'art 30 del GDPR

Il Registro delle attività di trattamento è normato dall'art. 30 del GDPR. Qui si prevede che il registro contenga almeno (sottolineiamo almeno, aggiungere più informazioni non farà altro che soddisfare il principio di trasparenza, anche questo cardine del GDPR):

• nome e dati di contatto del titolare del trattamento. Se nominati, vanno elencati anche i dati del contitolare del trattamento, del DPO ecc…
• finalità del trattamento, ben distinte per tipologia. Ad esempio, in caso di dati dei dipendenti, la finalità del trattamento è la gestione del rapporto di lavoro, mentre la finalità del trattamento dei dati dei fornitori è la gestione degli ordini ecc…
• i destinatari (suddivisi almeno per categoria di appartenenza) ai quali i dati personali sono stati o verranno comunicati (compresi altri titolari, si pensi agli enti previdenziali coi quali il datore di lavoro condivide i dati dei dipendenti ai fini di erogazione delle prestazioni previdenziali),
• la descrizione delle categorie di interessati (clienti, dipendenti, collaboratori ecc…) e delle tipologie di dati personali trattati (dati sanitari, anagrafici, biometrici, sensibili ecc…)
• informazioni relative all'eventuale (se possibile) trasferimento dei dati trattati verso un paese terzo o una organizzazione internazionale (qui rimandiamo ad una lettura più approfondita dell'art. 49 del GDPR);
• termini di conservazione e di cancellazione dei dati;
• desrcizione generale delle msiure tecniche ed organizzative implementate a protezione dei dati personali. In questo caso è consigliabile riferire a documentazione esterna più dettagliata;
• la base giuridica del trattamento. In caso la base giuridica sia il legittimo interesse è consigliabile descrivere il legittimo interesse.

Sottolineiamo come il Registro debba elencare non soltanto i trattamenti digitali, ma anche quelli cartacei. Inoltre ricordiamo che, nel riportare le attività di trattamento, vanno inserite solo informazioni e dati davvero utili rispetto alle finalità di quel trattamento. Principalmente perché una raccolta di dati che ecceda la finalità del trattamento stesso è illegittima, mancando nel rispetto del principio di minimizzazione del trattamento previsto dal GDPR.

Un registro dei trattamento non aggiornato è inutile!

E' un passaggio essenziale che il registro delle attività di trattamento dei dati sia correttamente aggiornato. Non solo per disporre di una documentazione che corrisponda alla realtà delle attività di trattamento, ma anche per motivi molto più pratici. Come rispondere alla richiesta di cancellazione dati di un interessato se non sappiamo dove conserviamo i suoi dati?

Il registro dei trattamenti andrà quindi aggiornato ogni volta che la tua azienda avvia una nuova e aggiuntiva attività di trattamento, ma anche nei casi in cui i trattamento già elencati vengano modificati. Ad esempio il registro andrà aggiornato nel caso in cui si decida di aggiungere una nuova e ulteriori finalità ad un trattamento già elencato.

Un registro non aggiornato, lo sottolineiamo, ti espone a rischio sanzioni!