La nuova Privacy: i registri delle attività di trattamento
Cosa devono contenere e come devo essere tenuti tali registri

Subito si precisa che l’art. 30 del Regolamento Europeo n. 2016/679 (GDPR) prevede due tipologie di registri, distinti in riferimento ai due soggetti responsabili (Titolare del trattamento e Responsabile del trattamento).
Quindi i registri sono:
-
il registro del titolare del trattamento (art. 30, par. 1, GDPR);
-
il registro del responsabile del trattamento (art. 30, par. 2 GDPR).
*****
Le caratteristiche generali di tali 2 registri
-
Tali registri devono essere tenuti in forma scritta, anche in formato elettronico (art. 30, par. 3, GDPR).
-
Non devono essere trasmessi all’autorità di controllo (Garante della Privacy), ma devono essere messi a disposizione di eventuali controlli da parte del Garante (art. 30, par. 4, GDPR).
-
Sono obbligatori per le imprese o organizzazioni con più di 250 dipendenti, oppure con meno di 250 dipendenti, ma i dati trattati devono avere in s è il rischio per i diritti e le libertà dell’interessato. Sono obbligatori tali registri se il trattamento dei dati personali includa le categorie particolari indicate nell’art. 9, par. 1, del GDPR o se i dati personali sono relativi a condanne penali ed a reati di cui all’articolo 10 (art. 30, par. 5, GDPR).
*****
Le caratteristiche specifiche di tali 2 registri
Il registro del titolare del trattamento (art. 30, par. 1, GDPR)
Tale registro deve contenere tutte queste informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
*****
Il registro del responsabile del trattamento (art. 30, par. 2, GDPR)
Tale registro deve contenere tutte queste informazioni:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
*****
Raccomandazioni del Garante della Privacy
Il Garante della Privacy, in riferimento all’obbligatorietà della tenuta di tali 2 scritture, precisa che la tenuta di tali registri è parte integrante di tale sistema di tutela della Privacy. Quindi è opportuno, per tutti i titolari i titolari e responsabili di trattamento, di tenere tali registri e di aggiornarli continuamente.
Precisamente:
“La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. (per vedere il testo completo clicca qui)”.