Il Registro dei trattamenti è il documento che contiene le principali informazioni relative alle operazioni di trattamento di dati rilevanti ai fini della privacy effettuate da un’impresa, un’associazione, un esercizio commerciale o un libero professionista.

 

L’art. 30 GDPR prescrive che ogni Titolare del trattamento e, ove applicabile, il suo rappresentante devono tenere il Registro dei trattamenti: esso è obbligatorio per le pubbliche amministrazioni e per le imprese con più di 250 dipendenti. Tuttavia il Registro è obbligatorio, anche se i dipendenti sono meno di 250, se:

  • vengono trattati dati “a rischio” per i diritti e le libertà dell’interessato;
  • il trattamento non è occasionale;
  • il trattamento riguarda categorie particolari di dati cui all’articolo 9, paragrafo 1 (origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona)
  • il trattamento riguarda i dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

 

L’Autorità Garante Privacy ha precisato che tra i soggetti Titolari o Responsabili che sono tenuti all’obbligo di redazione del Registro, vanno inclusi:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della legge 13 del 1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

 

Il registro, che è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche. Ovviamente il registro deve essere costantemente aggiornato. il registro deve anche recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.

 

Sia il Titolare del trattamento che il Responsabile del trattamento devono tenere un proprio Registro.

Registro dei titolari del trattamento

 

Nella sostanza il registro deve consentire di identificare i soggetti coinvolti nel trattamento dei dati, le categorie dei dati trattati, per cosa sono utilizzati i dati, chi accede agli stessi, a chi vengono comunicati, per quanto tempo sono conservati e quanto sono sicuri.

Nel dettaglio, l’art. 30 prevede che il registro elenchi le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);

  1. b) le finalità del trattamento, distinte per tipologie (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini);
    c) una descrizione delle categorie di interessati(es. clienti, fornitori, dipendenti) e delle categorie dei dati personali(es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.) trattati;
  2. d) i destinatari(anche solo per categoria di appartenenza) a cui i dati personali sono stati o saranno comunicati(compreso gli altri titolari, come gli enti previdenziali cui vanno trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, ma è opportuno indicare anche i responsabili e sub-responsabili ai quali sono trasmessi i dati, come i soggetti ai quali il titolare affidi il servizio di elaborazione delle buste paga dei dipendenti);
  3. e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
    f) dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
    g) dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzativedi cui all’articolo 32, paragrafo 1 (è possibile fare riferimento a documenti esterni).

 

Registro dei responsabili del trattamento

 

Il paragrafo 2 dell’articolo 30 del GDPR prevede che anche i responsabili del trattamento debbano tenere un registro simile in relazione alle attività svolte per conto del titolare. Il contenuto deve essere il seguente:
– il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
– le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento (es. hosting, manutenzione IT, invio di messaggi commerciali);

– dove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
– dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo