Registro dei trattamenti privacy

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all'effettività dei trattamenti posti in essere.

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili: • imprese o organizzazioni con almeno 250 dipendenti; • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato; • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali; • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD. Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati. Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio: • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Il registro è un documento che raccoglie le principali informazioni sulle attività di trattamento compiute dal titolare e, se nominato, dal responsabile del trattamento. E’ altresì uno strumento fondamentale per: • tracciare l’esistente; • verificare la conformità al regolamento; • divulgare informazioni, consapevolezza e condivisione interna. II registro rappresenta uno dei basilari elementi di accountability del titolare, ossia uno degli adempimenti più importanti concernenti le attività di trattamento, in quanto sono in grado di fornire un quadro aggiornato delle operazioni e dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e preventivo rispetto a tale attività.

Il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato. La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente.

Le conseguenze di una violazione delle norme in materia di protezione dei dati personali possono essere di diverso tipo, tra le quali anche sanzioni amministrative pecuniarie applicate a seguito di un procedimento dinanzi all’ Autorità di controllo nazionale (Garante Privacy). E' importante tenere presente che non è sufficiente rispettare le norme in materia di protezione dei dati personali, ma, in ossequio del principio di accountability, i Titolari del trattamento dovranno dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi, insomma dovranno saper rendere conto di quanto fanno.

Il registro dei trattamenti non ha un obbligo temporale di aggiornamento definito dalla norma, ma va aggiornato ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione. È consigliabile conservare tutte le versioni del Registri, in modo da poter ricostruire l'iter delle varie modifiche e/o integrazioni.

La violazione degli obblighi inerenti la tenuta del registro dei trattamenti comporta l'applicazione di una sanzione fino a 10milioni di euro o, per le imprese, fino al 2% del fatturato annuo dell'esercizio precedente, se superiore (art. 83, par. 4, lett a), GDPR).

Il registro è un documento interno, e come tale non si è tenuti a comunicarlo o condividerlo con nessuno, eccetto ovviamente le autorità in caso di verifica. Le aziende del settore pubblico, invece, sono tenute a comunicare il registro a chiunque lo richieda, trattandosi di un documento amministrativo, ovviamente previo oscuramento delle informazioni vietate ai sensi di legge e che potrebbero nuocere a terzi.

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Regolamento UE 679/2016 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento come ad esempio tramite la redazione del registro dei trattamenti, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza: la valutazione di impatto ne è un esempio. Ne deriva che l’analisi dei rischi è una parte integrante del registro dei trattamenti.