Il registro dei trattamenti in ambito privacy consiste in un documento in cui sono presenti le più importanti informazioni, indicate dal RGPD all’articolo 30, che riguardano le operazioni di trattamento che vengono effettuate dal titolare e dal responsabile del trattamento (nel caso in cui sia nominato). La tenuta di questo registro è uno dei più importanti adempimenti che devono essere rispettati dal titolare e dal responsabile del trattamento secondo quanto previsto dal RGPD.
Ci dice tutto ciò che serve sapere a riguardo lo staff di Gruppo RES che offre un servizio di consulenza privacy e GDPR a Monza e Brianza.
A che cosa serve
Il registro delle attività di trattamento è uno dei più importanti fattori di accountability del titolare, dal momento che rappresenta uno strumento in grado di garantire una panoramica aggiornata e completa dei trattamenti in corso in una data organizzazione. È, al tempo stesso, preliminare e indispensabile per tutte le attività di valutazione e di analisi del rischio.
È obbligatoria la forma scritta, fermo restando che il registro può anche essere elettronico e va esibito nel caso in cui il Garante della Privacy lo richieda. L’obbligo di redigere questo registro spetta a tutti i responsabili e titolari del trattamento.
Chi deve stilare il registro delle attività di trattamento
Fra i soggetti che hanno l’obbligo di redigere il registro delle attività di trattamento ci sono le organizzazioni e le imprese che hanno 250 o più dipendenti (la categoria delle organizzazioni comprende anche i comitati, le fondazioni e le associazioni). L’obbligo, inoltre, spetta a tutti i responsabili e titolari che eseguono trattamenti non occasionali (comprese le organizzazioni e le imprese che hanno meno di 250 dipendenti), e i responsabili e i titolari che eseguono trattamenti da cui può scaturire un rischio, non per forza elevato, rispetto alle libertà e ai diritti dei soggetti interessati.
Gli obblighi per liberi professionisti ed esercizi commerciali
Alcuni esempi concreti aiutano a capire chi deve redigere il registro.
Fra i soggetti obbligati ci sono gli artigiani, gli esercizi pubblici e gli esercizi commerciali come i negozi, le officine, i ristoranti, i bar e le attività di piccola distribuzione che hanno almeno un dipendente e che trattano i dati sanitari dei clienti: è il caso, fra l’altro, dei tatuatori, degli odontotecnici, degli ottici, degli estetisti, dei parrucchieri, e così via. Lo stesso dicasi per i liberi professionisti con uno o più dipendenti che trattano o dati sanitari o dati che riguardano reati e condanne penali: per esempio i medici, i farmacisti, i fisioterapisti e gli osteopati, ma anche gli avvocati, i notai e i commercialisti.
Anche i condomini sono obbligati a stilare questo registro nel caso in cui vengano trattate particolari categorie di dati come le richieste di risarcimento dei danni in cui si fa riferimento a spese mediche per sinistri che si sono verificati nei locali condominiali.
La conservazione del registro
Come si è visto, il registro dei trattamenti consiste in un documento finalizzato al censimento e all’analisi dei trattamenti svolti dal responsabile o dal trattamento. Ecco spiegato il motivo per il quale il registro va sempre tenuto aggiornato, in quanto il suo contenuto deve essere corrispondente alla natura dei trattamenti effettuati.
Ogni cambiamento va segnalato nel registro in maniera tempestiva, soprattutto se riguarda le finalità dei dati. Si può compilare il registro in formato elettronico o in formato cartaceo, e in tutti i casi deve essere riportata la data della prima istituzione, insieme alla data dell’aggiornamento più recente. Per esempio, l’annotazione riportata dovrà indicare che la scheda è stata creata in data X e che l’ultimo aggiornamento è stato effettuato in data X.
Nel registro possono essere indicate, tra l’altro, le modalità che sono state seguite per la raccolta del consenso.