GDPR PRIVACY: registro delle attività di trattamento chi deve redigerlo

Il 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo sul trattamento dei dati personali, noto ai più come GDPR , di cui tanto si è parlato ad inizio anno, e che ha introdotto una serie di novità nella gestione  dei dati personali da parte delle imprese e dei professionisti. 

In realtà, molti degli argomenti trattati in questo nuovo regolamento, erano già presenti nella vecchia normativa e già disciplinate dal codice privacy, affrontate dalle imprese e professionisti con il vecchio DPS (Documento Programmatico sulla sicurezza dei dati personali – Dlgs 196/2003).
Erano state infatti già trattate le modulistiche per le informative ai clienti e fornitori, così come gli incarichi alle persone autorizzate al trattamento dei dati, distinguendoli tra Responsabili al trattamento Dati, Soggetti Incaricati, etc., così l’entrata in vigore del nuovo regolamento , si è rivelato meno traumatico di quanto ci si aspettasse per quelle attività che avevano già affrontato l’argomento nel 2003.

Tra le novità introdotte dal nuovo regolamento troviamo il Registro delle Attività di Trattamento, cos’è e chi deve redigerlo?

Secondo quanto disposto dal Regolamento UE 679/2016 , il Titolare del trattamento (quindi, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali) o il Responsabile del trattamento (persona fisica o giuridica , autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare del trattamento) dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità, da esibire a richiesta delle autorità di controllo affinchè possano monitorare tali trattamenti. (rif. considerando 83 UE 679/2016).

Secondo quanto disposto dall’art. 30 del nuovo regolamento, il registro delle attività di trattamento redatto dal titolare o dal responsabile, dovrà contenere:

1. il nome e i dati di contatto del titolare del trattamento e, dove è applicabile, il nome e i dati di contatto del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (RPD/DPO);
2. le finalità del trattamento;
3. la descrizione delle categorie dei soggetti interessati e delle categorie di dati personali;
4. le categorie di soggetti destinatari ai quali i dati sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. dove possibile, il registro deve indicare i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
6. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. dove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative di sicurezza del trattamento (art.32);

Chi deve redigere il registro delle attività di trattamento dati?

Il registro delle attività di trattamento dati personali, che può essere tenuto sia in formato cartaceo  che elettronico e messo a disposizione delle autorità di controllo su loro specifica richiesta, non deve essere  redatto da imprese o organizzazioni con meno di 250 dipendenti , a meno che il trattamento che esse effettuano possa presentare un rischio  per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che includa il trattamento di categorie particolari di dati (dati sensibili) , o personali relativi a condanne penali e reati.

Perchè se non obbligatorio, è utile redigere il registro delle attività di trattamento?

Il nuovo regolamento non impone la redazione del registro delle attività di trattamento alle imprese con meno di 250 dipendenti, o che non gestiscono dati personali di natura sensibile come indicato in precedenza, ma risulta comunque un ottimo strumento per avere un quadro chiaro sulla gestione dei dati che l’azienda o il professionista tratta, su chi sono le figure e le responsabilità dei soggetti interessati al trattamento, siano essi interni che esterni, sulla reperibilità e finalità del dato, e non meno importante, come documentazione da produrre, nel caso di controllo degli organismi preposti, come dimostrazione dell’attuazione e del rispetto della normativa in vigore.