Gdpr: le istruzioni del Garante Privacy per il registro del trattamento

di Valeria Zeppilli – Tra i principali adempimenti previsti dal Gdpr vi è il registro del trattamento, che, in buona sostanza, è un documento nel quale vanno censiti tutti i trattamenti di dati personali effettuati dal titolare e dal responsabile del trattamento e che deve essere esibito a richiesta al Garante.

Per agevolare tutti coloro che si trovano alle prese con la novità, il Garante privacy ha diffuso un vademecum che fa chiarezza su come procedere a una corretta tenuta e le faq (sotto allegate).

• Gdpr: chi deve tenere il registro
• Contenuto del registro
• Aggiornamenti
• Responsabile esterno

Gdpr: chi deve tenere il registro

Il registro deve essere tenuto da:

• imprese o organizzazioni che hanno almeno 250 dipendenti;
• titolari o responsabili che effettuano trattamenti che possono comportare rischi, anche bassi, per i diritti e le libertà dell'interessato o che effettuano trattamenti non occasionali, anche se l'impresa o l'organizzazione in cui operano ha meno di 250 dipendenti;
• titolari o responsabili che effettuano trattamenti di categorie particolari di dati di cui all'art. 9, paragrafo 1, del Gdpr o di dati personali relativi a condanne penali e a reati di cui all'articolo 10 del Gdpr, anche se l'impresa o l'organizzazione in cui operano abbia meno di 250 dipendenti.

Si precisa che sono organizzazioni anche le associazioni, le fondazioni e i comitati.

Per il Garante della privacy, in ogni caso, il registro andrebbe tenuto sempre, anche se non si è sottoposti all'obbligo.

Contenuto del registro

Il Garante si è occupato anche dei contenuti del registro, specificando innanzitutto che nel campo "termini ultimi previsti per la cancellazione delle diverse categorie di dati" devono essere indicati i tempi di cancellazione per tipologia e finalità di trattamento. Se questi non possono essere predeterminati, basterà specificarli con criteri indicativi.

Sotto la voce "descrizione generale delle misure di sicurezza", invece, è possibile anche indicare che, per una valutazione più dettagliata, si rimanda a documenti esterni di carattere generale, come le procedure organizzative e le policy aziendali. Tale voce deve comunque avere carattere dinamico ed essere quindi continuamente adeguata alle nuove tecnologie e ai nuovi rischi.

Nel campo "finalità del trattamento", poi, è opportuno indicare la relativa base giuridica e, se si tratta di un legittimo interesse, anche la sua descrizione, le adeguate garanzie e l'eventuale preventiva valutazione di impatto.

Infine, nel campo "categorie di destinatari a cui i dati sono stati o saranno comunicati", vanno inclusi tutti i soggetti destinatari dei dati, compresi gli altri titolari, i responsabili e gli eventuali sub-responsabili.

Aggiornamenti

Nel registro dei trattamenti vanno poi indicate sempre la data di istituzione, o di creazione di una nuova scheda relativa a una specifica tipologia di trattamento, e quella dell'ultimo aggiornamento.

Il registro infatti, sia esso in formato digitale o in formato cartaceo, deve essere aggiornato con costanza.

Responsabile esterno

Il registro deve essere predisposto dal titolare e dal responsabile del trattamento.

Se il responsabile è un soggetto esterno che agisce per più autonomi e distinti titolari, le informazioni devono essere riportate nel registro in maniera specifica per ogni titolare, a ognuno del quale deve essere quindi dedicata una apposita sezione del documento.