I registri dei trattamenti dei dati nel Regolamento UE 2016/679

I registri dei trattamenti dei dati nel Regolamento UE 2016/679

Il Regolamento UE 2016/679 (Regolamento Generale sulla protezione dei dati – RGPD – o General Data Protection Regulation – GDPR) introduce i registri dei trattamenti.

Cosa sono i registri dei trattamenti

I registri dei trattamenti racchiudono tutte le informazioni relative ai trattamenti di dati personali svolti dai titolari o, per loro conto, dai responsabili.

Come indicato dal Garante privacy nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, i registri dei trattamenti rappresentano uno strumento fondamentale “non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio”.

Nei registri devono essere riportate tutte le informazioni relative ai trattamenti svolti e precisamente, così come indicato nell’art. 30 del GDPR:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Per quanto riguarda i registri tenuti dai responsabili per le attività svolte per conto di un titolare del trattamento, il citato art. 30 del GDPR stabilisce che essi devono contenere:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Chi deve tenere i registri dei trattamenti

Tutte le imprese o organizzazioni con più di 250 dipendenti o anche con un numero inferiore nel caso in cui il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati, sono tenute a tenere un registro delle attività di trattamento.

L’obbligo di dotarsi dei registri delle attività di trattamento previsto dall’art. 30 del GDPR non riguarda solo il titolare del trattamento.

Infatti, in base a quanto previsto dal paragrafo 2 di tale disposizione, anche il responsabile deve tenere un registro di tutte le categorie delle attività di trattamento svolte per conto del titolare.

Come gestire i registri dei trattamenti

I registri devono essere tenuti in forma scritta, anche in formato elettronico, aggiornati e, su richiesta, devono essere messi a disposizione dell’autorità di controllo.

Raccomandazioni del Garante privacy sui registri dei trattamenti

Nella già citata Guida del Garante all’applicazione del Regolamento europeo, l’Autorità sottolinea che la tenuta dei registri dei trattamenti non costituisce un adempimento formale ma è parte integrante di un sistema di corretta gestione dei dati personali e, per tale motivo, invita tutti i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione e dai trattamenti che potrebbero non rendere obbligatorio tale adempimento, a compiere comunque i passi necessari per dotarsi dei registri e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.