Registro dei trattamenti: obbligo non solo per le grandi aziende
Scopriamo insieme cosa si intende per registro semplificato, chi può utilizzarlo e come deve essere aggiornato.
L’articolo 30 del GDPR cita, tra le misure “tecniche e organizzative” che devono essere adottate a salvaguardia di principi contenuti nella norma, il registro dei trattamenti.
Non tutti sanno che non solo le grandi organizzazioni (superiori ai 250 dipendenti) sono tenute a predisporre ed aggiornare un registro dei trattamenti. Stando a quanto stabilito dal Garante della privacy, infatti, il registro deve essere considerato un documento essenziale per dimostrare la propria accountability.
Al di fuori dei casi di tenuta obbligatoria del registro, anche alla luce dell’articolo 82 del GDPR, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Chi è obbligato alla tenuta del Registro dei trattamenti?
In base all’articolo 30 GDPR, quindi, tutti i titolari e i responsabili del trattamento sono obbligati a redigere il registro delle attività di trattamento.
L’articolo 30 coinvolge pertanto:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
Cosa deve contenere il Registro dei trattamenti semplificato?
Il registro dei trattamenti a cura del titolare del trattamento (e cioè a persona fisica o giuridica che determina i mezzi e le finalità del trattamento)per essere in regola deve prevedere le seguenti voci che andranno aggiornate per ogni singolo trattamento effettuato:
- la denominazione e i dati di contatto del titolare, co-titolare o rappresentante se all’estero;
- nome e cognome o ragione sociale del Responsabile della Protezione Dati o DPO se nominato;
- finalità: è necessario indicare la finalità per cui si trattano i dati, ad esempio elaborazione busta paga, contatto di un utente in seguito a richiesta informazioni.
- categorie di interessati: qui bisogna indicare le categorie a cui si riferiscono i dati, ad esempio dipendenti, utenti sito, clienti e fornitori, candidati, stagisti;
- categorie di dati personali: questo campo è importante in quanto si va ad indicare se si trattano dati personali comuni o particolari (ex sensibili) e giudiziari. Se si trattano dati particolari è necessario indicare se si tratta di dati sanitari, dati genetici, dati biometrici, dati giudiziari, dati di orientamento politico, religioso o sessuale, dati di origine razziale o etnica, appartenenza sindacale;
- categorie di destinatari: devono essere indicati gli estremi dei responsabili che trattano i dati per conto del titolare, ad esempio medico del lavoro, centro elaborazione paghe, Web Provider e simili, e/o eventuali altre categorie di titolari a cui possono essere comunicati i dati, ad esempio enti pubblici, banche, enti previdenziali;
- eventuale trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi, ad esempio Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules;
- termini ultimi di cancellazione previsti: deve essere indicato per quanto tempo vengono trattati i dati prima di cancellarli. Non ci sono regole e linee guida precise, a parte i dati per cui esistono dei tempi minimi di conservazione di legge, ad esempio dati amministrativi; i criteri di valutazione vanno stabiliti in base a diversi fattori come basi giuridiche e finalità sempre però legati al principio fondamentale di “minimizzazione”, fra i più importanti del GDPR;
- misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati, ad esempio pseudonimizzazione, cifratura dei dati, backup, formazione.
Nel caso un’azienda sia anche un Responsabile esterno per conto di uno o più Titolari (es. consulenti del lavoro, aziende IT, software house … ) dovranno realizzare uno o più registro delle attività di trattamento del Responsabile.
Il Registro del trattamento per il Responsabile del trattamento è molto più semplice in quanto non è necessario indicare finalità, interessati, categorie di dati, destinatari e tempi di conservazione. Questi, infatti, sono stabiliti dal titolare per cui vengono indicate nel suo registro.
Modalità di aggiornamento e conservazione
Il registro dei trattamenti semplificato deve essere mantenuto costantemente aggiornato in modo che il suo contenuto sia sempre corrispondente ai trattamenti effettivamente operati dall’impresa.
Ogni variazione in ordine a modalità, finalità, misure di protezione, categorie di dati, categorie di interessati, deve essere inserita nel Registro, tenendo ovviamente traccia delle modifiche.
Il registro può essere redatto ed esibito tanto in formato cartaceo che in formato digitale e deve indicare la data della prima redazione e quella dell’ultimo aggiornamento.
Data pro è un Team di consulenti certificati con competenze multidisciplinari in ambito normativo, tecnologico e di organizzazione aziendale in grado di seguire la tua impresa ad individuare il giusto registro dei trattamenti da adottare, a stabilirne il contenuto ed aggiornarne nel tempo la conformità alla normativa vigente.
Contattaci per un primo colloquio informativo per spiegarci le tue necessità.