Cosa sono i registri delle attività di trattamento privacy?

Il registro delle attività di trattamento è un documento che raccoglie e descrive tutte le attività di trattamento svolte presso una determinata organizzazione.

Il registro trattamenti privacy è uno strumento che permette di definire con precisione quali sono i dati personali trattati in ogni specifica realtà aziendale e qual è il loro “ciclo di vita”: consultando il registro delle attività di trattamento sarà possibile ottenere informazioni relative ai dati trattati in ogni fase lavorativa, dal momento della raccolta all’eliminazione sarà sempre possibile individuare con precisione tutte le informazioni che permettono di dimostrare che i trattamenti avvengono secondo il principio di “responsabilizzazione”(accountability).

Per elaborare un registro delle attività di trattamento è prima di tutto necessario individuare:

  • tutti i dati effettivamente utilizzati per lo svolgimento delle attività lavorativa;
  • a chi si riferiscono i dati utilizzati per lo svolgimento dell’attività lavorativa, cioè gli interessati;
  • le attività di trattamento svolte.

Contenuto dei registri delle attività di trattamento

L’articolo 30 del Regolamento UE 2016/679 – GDPR individua i soggetti tenuti alla redazione dei registro trattamenti privacy e i contenuti degli stessi: la norma prevede l’elaborazione del registro delle attività di trattamento sia da parte dei titolari del trattamento sia da parte dei responsabili del trattamento.

registro attività trattamento dati

registro attività trattamento dati

Il Registro del Titolare del trattamento dei dati

Il registro delle attività di trattamento predisposto dal titolare del trattamento dovrà contenere le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento: indicare perché si trattano i dati personali e le base giuridica che rende lecito il trattamento;
  • una descrizione delle categorie degli interessati e delle categorie di dati personali: indicare se si trattano dati personali, particolari, giudiziari e le relative categorie, ad esempio dati anagrafici, dati relativi alla salute ecc.;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi ed organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati: indicare il periodo di conservazione dei dati personali, se non è possibile, indicare i criteri utilizzati per determinare tale periodo. È utile ricordare che esistono disposizioni di legge precise che prevedono la conservazione obbligatoria di dati personali per determinati periodi di tempo (ad esempio i dati contabili in Italia devono essere conservati per dieci anni);
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del GDPR.

Il Registro del Responsabile del trattamento dei dati

Il registro delle attività di trattamento (registro trattamenti privacy) stilato dal responsabile del trattamento dovrà contenere le seguenti informazioni:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del GDPR.

I Registri sia per il Titolare che per il Responsabile del trattamento

È bene prestare attenzione a un aspetto particolare: un’azienda, un’organizzazione o un professionista possono svolgere attività di trattamento sia come titolari sia come responsabili. Portiamo degli esempi concreti:

  • esempio n.1: l’azienda Alfa (nome di fantasia) eroga servizi di consulenza e corsi di formazione. Alfa agirà sia come titolare per alcune attività di trattamento (ad esempio per la gestione dei propri dipendenti, per la gestione della contabilità aziendale, per la gestione delle attività promozionali ecc.) sia come responsabile del trattamento (ad esempio se Alfa è nominata responsabile del trattamento per la formazione dei dipendenti di un’azienda cliente);
  • esempio n.2: un consulente del lavoro agirà sia come titolare per alcune attività di trattamento (ad esempio per la gestione dei propri dipendenti, gestione della contabilità aziendale ecc.) sia come responsabile del trattamento (ad esempio se è nominato responsabile del trattamento per la gestione dei contratti di lavoro dei dipendenti di un’azienda cliente).

In questi casi, questi soggetti dovranno elaborare la documentazione che contenga le informazioni richieste sia per i titolari che per i responsabili del trattamento.

Modalità di elaborazione e conservazione dei registri delle attività di trattamento

I registri delle attività di trattamento devono essere tenuti in forma scritta, possono essere stampati ma anche mantenuti anche su supporto elettronico.

Tendenzialmente i registro trattamenti privacy sono “documenti dinamici”, vanno opportunamente modificati e aggiornati in caso di variazioni o introduzione di nuove attività di trattamento: le realtà aziendali in continua evoluzione potrebbero preferire la conservazione su supporto elettronico per facilitare eventuali modifiche.

La piena consapevolezza di ogni attività di trattamento svolta e la redazione del registro delle attività di trattamento costituiscono il punto di partenza per una corretta analisi delle minacce e la conseguente Valutazione del Rischio Privacy.

L’elaborazione del registro delle attività di trattamento non dovrebbe costituire un mero adempimento burocratico, anzi, un registro ben fatto dovrebbe costituire un documento utile che fornisce in modo chiaro e agevole tutte le informazioni relative ai dati trattati e alle attività di trattamento svolte in una determinata realtà aziendale.

Per questo motivo, secondo il nostro punto di vista di Consulente Privacy, è inutile e dispendioso prodigarsi nella redazione di registri troppo lunghi, ridondanti e complessi: un plico di duecento pagine stampate è sicuramente scenografico ma va privilegiata la facilità di consultazione per agevolare individuazione delle informazioni richieste dalla normativa.

consulenza registro trattamento privacy

consulenza registro trattamento privacy

Ricordiamo che, in caso di richiesta, il titolare del trattamento o il responsabile del trattamento devono mettere i registri delle attività di trattamento a disposizione dell’Autorità di controllo e quest’ultima potrebbe apprezzare un’agevole consultazione e un rapido accesso alle informazioni richieste dal GDPR.

Soggetti tenuti ad elaborare i registri delle attività di trattamento

Il Garante per la protezione dei dati personali fornisce chiare interpretazioni in merito:

  • In ambito privato, i soggetti tenuti a redigere i registri delle attività di trattamento sono:
    • imprese o organizzazioni con almeno 250 dipendenti;
    • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possono presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
    • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
    • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art.9 del GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 del GDPR.
  • Per portare degli esempi, sono tenuti alla redazione del registro:
    • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente e/o che trattino dati sanitari dei clienti;
    • liberi professionisti con almeno un dipendente e/o trattino dati sanitari dei clienti o dati relativi a condanne penali o reati;
    • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati;
    • il condominio ove tratti “categorie particolari di dati.

Analizzando le indicazioni fornite, sembrano poche le realtà esonerate dall’obbligo di redigere i registri delle attività di trattamento: nel caso in cui l’elaborazione risultasse facoltativa è comunque sempre consigliabile procedere con la redazione dei registri delle attività di trattamento perché questi costituiscono uno strumento di informazione che dimostra la piena consapevolezza delle attività di trattamento svolte in un determinato contesto aziendale.

 
Informati Ora per il Corso su Privacy & GDPR