Privacy, registro dei trattamenti: quali informazioni contiene e per chi è obbligatorio? Le istruzioni del Garante per la protezione dei dati personali sullo strumento introdotto dal GDPR. Previsto un modello semplificato per le PMI.
Privacy, registro dei trattamenti: quali informazioni deve contenere e quali sono i soggetti obbligati a redigerlo? Si tratta di un obbligo introdotto dal GDPR General Data Protection Regulation del 2018, il nuovo regolamento europeo sulla protezione dei dati personali dei cittadini. Le istruzioni dell’Autorità Garante per essere in regola.
Il Registro dei trattamenti è obbligatorio soltanto per le imprese con più di 250 dipendenti, ma si tratta di uno degli adempimenti fondamentali per tutte le imprese e le organizzazioni che sono impegnate nel trattamento dei dati in maniera non occasionale e che può rappresentare un rischio per i diritti e le libertà delle persone coinvolte. In Italia per le PMI è previsto un modello in versione semplificata.
Privacy, registro dei trattamenti: che cos’è e a cosa serve?
Cos’è il registro dei trattamenti? Si tratta di un documento che contiene le principali informazioni relative alle operazioni di trattamento di dati rilevanti ai fini della privacy effettuate da un’impresa, un’associazione, un esercizio commerciale o un libero professionista.
Rappresenta lo strumento utile per effettuare una rendicontazione delle attività giornaliere che riguardano il trattamento dei dati personali.
A doverlo compilare è il titolare e il responsabile del trattamento. L’obbligo è previsto dall’articolo 30 del GDPR ed è una rappresentazione tangibile del concetto di accountability, uno dei pilastri della normativa europea in tema di privacy.
Rappresenta un elemento idoneo a fornire le informazioni sui trattamenti effettuati, sui possibili rischi e sulle valutazioni effettuate. Ogni azione sui dati deve essere tracciata.
Una parte del registro, infatti, va dedicata alle violazioni: in caso di data breach, ovvero distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali trattati, è necessario annotare nell’apposito documento tutti i dettagli dell’evento.
Si tratta di uno strumento che, nella nuova ottica con cui si guarda alla protezione dei dati, assume grande importanza e che il Garante Privacy suggerisce di compilare a tutte le imprese, anche quelle più piccole, per le quali è messo a disposizione un modello di registro dei trattamenti semplificato.
Di seguito tutte le istruzioni su uno degli adempimenti privacy più importanti.
Registro dei trattamenti privacy: istruzioni e soggetti obbligati
Secondo le istruzioni pubblicate sul sito dell’Autorità Garante della Privacy e redatte sulla base delle novità introdotte dal GDPR, il registro dei trattamenti dovrà essere compilato in forma scritta, in modalità cartacea ed elettronica.
L’obbligo di redigere il Registro riguarda i seguenti soggetti privati:
- le imprese o le organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio - anche non elevato - per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
È quindi chiaro che sono obbligati a tenere e redigere il registro dei trattamenti dei dati personali buona parte di imprese e professionisti.
Ad esempio, è obbligatorio per negozi, uffici o artigiani (bar, ristoranti) con almeno un dipendente, così come per chi tratta dati sanitari dei propri clienti (come parrucchieri, estetisti, ottici, tatuatori ecc..).
L’obbligo riguarda anche i liberi professionisti, come commercialisti, notai, avvocati, farmacisti o medici in generale, che trattano dati sanitari o sensibili.
Associazioni, fondazioni o comitati, allo stesso modo, sono chiamati a redigere il registro dei trattamenti ai fini del rispetto del GDPR qualora trattino categorie particolari di dati.
Si tratta ad esempio di associazioni che si occupano di soggetti vulnerabili (disabili, ex detenuti, ecc..) o associazioni che perseguono finalità di contrasto alle discriminazioni di genere, razziale, basate sull’orientamento religioso, sessuale o politico, così come le associazioni sportive che trattano dati sanitari o i partiti e sindacati.
Per le imprese e le organizzazioni con meno di 250 dipendenti sono previste misure di semplificazione e il Garante Privacy ha pubblicato un modello di registro dei trattamenti appositamente dedicato.
Registro dei trattamenti privacy, modello semplificato per le PMI
Come si legge anche nelle istruzioni pubblicate dal Garante, le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di alcune misure di semplificazione.
In tal caso l’obbligo di redazione del registro riguarderà soltanto le specifiche attività di trattamento sopra individuate. Ad esempio, nel caso in cui il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento.
Per semplificare il rispetto degli adempimenti previsti dal GDPR, l’Autorità Garante per la Privacy mette a disposizione delle piccole e medie imprese due modelli relativi al registro semplificato:
- uno per il responsabile;
- uno per il titolare.
Di seguito si forniscono le ulteriori istruzioni per la compilazione e la tenuta del Registro secondo quanto riportato nella .
Registro dei trattamenti: istruzioni per la compilazione del Garante della Privacy
Le istruzioni su come compilare il registro dei trattamenti sono contenute nel GDPR e sono illustrate in una pagina web dedicata dal Garante per la protezione dei dati personali.
Le informazioni che deve riportare sono le seguenti:
- “finalità del trattamento” , oltre all’indicazione degli scopi per cui i dati vengono trattati, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. In caso di trattamenti di “categorie particolari di dati”, ovvero i dati comunemente noti come sensibili, indicare una delle condizioni di utilizzo previste dal Regolamento;
- “descrizione delle categorie di interessati e delle categorie di dati personali” , vanno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) che quelle di dati personali oggetto del trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
- “categorie di destinatari a cui i dati sono stati o saranno comunicati” è necessario riportate, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano specificati anche gli eventuali altri soggetti ai quali - in qualità di responsabili e sub-responsabili del trattamento - siano trasmessi i dati da parte del titolare;
- “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” , bisogna riportare l’informazione relativa ai suddetti trasferimenti insieme all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del GDPR;
- “termini ultimi previsti per la cancellazione delle diverse categorie di dati”, bisogna individuare i tempi di cancellazione per tipologia e finalità di trattamento. In ogni caso, quando non è possibile stabilire a priori un termine massimo, i tempi di conservazione possono essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi;
- “descrizione generale delle misure di sicurezza”, in questo campo sono da indicare le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco riportato nel testo costituisce una lista aperta e non esaustiva. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
Dopo aver passato a rassegna le informazioni che sicuramente deve contenere il registro delle attività dei trattamenti di dati, è necessario sottolineare che, partendo dal modello standard, ogni organizzazione o impresa dovrebbe costruire in maniera sartoriale il suo registro, tenendo conto della sua specificità.
Modalità di conservazione e di aggiornamento del Registro dei trattamenti
Il documento deve essere costantemente aggiornato in quanto si tratta di uno strumento indispensabile per dimostrare le attività di trattamento dati effettuate dal titolare o dal responsabile.
In merito alle modalità di tenuta e conservazione, il Garante ricorda che può essere compilato sia in formato cartaceo che elettronico e che deve indicare la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) insieme a quella dell’ultimo aggiornamento.
Nel caso di aggiornamento, nel Registro bisogna indicare un’annotazione di questo tipo:
- “scheda creata in data XY”, ultimo aggiornamento avvenuto in data XY”
Registro responsabile trattamento dati
In chiusura, il Garante per la Privacy nelle istruzioni fornite a imprese, professionisti e organizzazioni chiarisce che il responsabile del trattamento deve tenere un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare”.
Il documento deve essere compilato nel modo che segue:
- nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari, per ognuno dei titolari è necessario specificare le informazioni richieste. Il risultato è un registro diviso in tante sezioni quanti sono i titolari per conto dei quali agisce. Nel caso in cui il responsabile agisce per un gran numero di soggetti può optare per un sistema di rimandi a schede o banche dati;
- per quanto riguarda la “descrizione delle categorie di trattamenti effettuati” è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che deve specificare i seguenti dettagli:
- la natura e la finalità del trattamento,
- il tipo di dati personali
- le categorie di interessati oggetto del trattamento,
- la durata.
- in caso di sub-responsabile, allo stesso modo, il registro delle attività di trattamento svolte da quest’ultimo può specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile.
Articolo originale pubblicato su Informazione Fiscale qui: Privacy, registro dei trattamenti: le istruzioni del Garante. Modello semplificato per le PMI