Il Registro delle Attività di Trattamento – Art. 30 GDPR

L’articolo 30 del Regolamento UE 2016/679 obbliga il Titolare del trattamento ed il suo Rappresentante, ed anche il Responsabile del trattamento, a tenere un Registro delle attività di trattamento svolte sotto la propria responsabilità.

Il registro deve avere forma scritta, ma può essere redatto anche in formato elettronico.

Che cos’è?

Il Registro delle attività di trattamento è un documento, redatto dal Titolare del trattamento dei dati, che contiene tutte le informazioni richieste dall’articolo 30 del GDPR, in relazione al Trattamento svolto. È un documento importante che facilita il controllo da parte del Garante, ed è necessario per valutare e analizzare i rischi del Trattamento. Se vuoi sapere chi sono i soggetti obbligati e che cosa è il GDPR puoi leggere il nostro articolo.

Chi è obbligato a tenere il Registro?

L’articolo 30 del GDPR obbliga i Titolari ed i Responsabili del Trattamento a tenere il Registro delle attività di trattamento. Tale obbligo non è assoluto, ne sono dispensate le imprese ed organizzazioni con meno di 250 dipendenti. Tra le organizzazioni sono ricomprese anche le associazioni, fondazioni ed i comitati.

Quando sono obbligate anche le piccole imprese e le organizzazioni con meno di 250 dipendenti?

La dispensa dall’obbligo di tenere il Registro non è assoluta, l’obbligo si estende anche a loro quando il trattamento che esse effettuano:

  • possa presentare un rischio per i diritti e le libertà dell’interessato;
  • non sia occasionale;
  • includa il trattamento di categorie particolari di dati personali (dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacale. Dati genetici, biometrici che identificano una persona fisica, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona);
  • includa il trattamento di categorie di dati personali relativi a condanne penali e a reati.

I casi sono alternativi, basta che si presenti solo uno dei casi sopraindicati per far scattare l’obbligatorietà alla tenuta del Registro.

Le linee guida hanno precisato che un’attività di trattamento può essere definita “occasionale” solo se non viene eseguita regolarmente e si verifica al di fuori del normale svolgimento del business o attività del Titolare o del Responsabile.

Pertanto, anche se una piccola impresa, con meno di 250 dipendenti, tratta regolarmente i dati dei propri dipendenti, il Trattamento non può più definirsi “occasionale”, con la conseguenza che vi sarà l’obbligo di tenere un Registro delle attività di Trattamento.

Il Garante ha provveduto a fornire degli esempi sui soggetti tenuti alla redazione del Registro:

  • Piccole imprese con almeno un dipendente di cui di trattano i dati, come bar, ristoranti, negozi ecc..
  • Piccole imprese che trattano i dati sanitari dei clienti come dentisti, estetisti, tatuatori, ottici, parrucchieri ecc..
  • Liberi professionisti come notai, avvocati, commercialisti, fisioterapisti, farmacisti e medici.
  • Condomini nel caso in cui vengano trattati particolari categorie di dati.
  • Associazioni, Fondazioni e Comitati che trattino particolari categorie di dati o dati relativi a condanne penali o reati.

In tali casi l’obbligo alla registrazione è circoscritto solo al Trattamento di quei dati per cui è imposto l’obbligo stesso, non essendo necessario che il Titolare registri il Trattamento di tutti i dati trattati.

Cosa deve contenere il Registro tenuto dal Titolare del Trattamento dei dati?

Il Titolare del trattamento, o il suo rappresentante, è tenuto ad annotare nel Registro tutta una serie di informazioni necessarie ed indispensabili.

L’articolo 30 del Regolamento dispone che il Registro contenga:

  • Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.
  • Le finalità del trattamento.
  • Come viene raccolto il consenso (può leggere qui per il consenso al trattamento dati).
  • Una descrizione delle categorie di interessati e delle categorie di dati personali.
  • Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.
  • Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
  • Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.
  • Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 (come la pseudonimizzazione e la cifratura dei dati personali).

Cosa deve contenere il Registro tenuto dal Responsabile del trattamento dei dati?

Anche il Responsabile del Trattamento è tenuto a redigere un Registro di tutte le categorie di attività relative al Trattamento svolte per conto di un Titolare del Trattamento, tale Registro deve contenere:

  • Il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati.
  • Le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.
  • Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
  • Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Oltre alle informazioni indicate tassativamente dal Regolamento, il Registro può contenere anche qualsiasi altra informazione che venga ritenuta utile dal Titolare o dal Responsabile del Trattamento.

Il modello semplificato di Registro delle attività di Trattamento utilizzabile dalle PMI (micro, piccole e medie imprese).

Al fine di facilitare le piccole e medie imprese, nella redazione del Registro delle attività di Trattamento, il Garante per la protezione dei dati personali ha pubblicato sul proprio sito internet un modello semplificato, utile per adempiere all’obbligo previsto dal Regolamento.

Conservazione e aggiornamento del Registro.

Il compito del Titolare e del Responsabile non finisce con la redazione del Registro, questo va costantemente aggiornato in modo tale che il suo contenuto corrisponda sempre ai Trattamenti eseguiti. Qualunque cambiamento degli elementi del Trattamento deve essere inserito nel Registro specificando le modifiche che ci sono state. Importante è anche l’inserimento della data della prima istituzione, e la data di ogni singolo aggiornamento.

Le raccomandazioni del Garante.

Come abbiamo visto, nella maggior parte dei casi, quando si trattano i dati personali la redazione del Registro delle attività è obbligatoria. Il Garante però ha raccomandato la tenuta del Registro anche quando non vi è l’obbligo, il Registro infatti, essendo uno strumento che fornisce piena contezza dei Trattamenti svolti, contribuisce ad agevolare l’attività di controllo ed attua il principio di accountability. Per approfondire puoi leggere il nostro articolo sulle sanzioni previste dal GDPR.

Vista l’utilità, e l’obbligatorietà in alcuni casi, di tenere un Registro contenente tutte le attività di Trattamento dei dati, è bene essere sempre informati ed aggiornati per non mettere a rischio la propria attività.

Se hai bisogno di una consulenza non esitare a contattarci.

Se l’articolo ti è piaciuto condividilo o lascia un commento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *