preloder

Redigere il Registro delle attività di trattamento.

Che cos’è il registro delle attività  di trattamento:

Già nell ‘entrata in vigore del nostro D. lgs. 196/03, siamo stati abituati, anche se per pochi anni, a fare i conti con la redazione di un documento corposo che permettesse di raccogliere tutte le informazioni e le procedure applicate al trattamento dei dati personali, con particolare riferimento all’applicazione degli adempimenti richiesti e alle Misure minime di sicurezza.
Il Documento Programmatico sulla Sicurezza, cosi era il nome, venne poi abrogato categoricamente dagli obblighi normativi nel 2012,  rimanendo comunque un documento riepilogativo importante solo nelle realtà aziendali di una certa dimensione.

Il GDRP torna a dare un notevole valore ad un documento in gran parte simile, allargandone l’obbligatorietà alla maggior parte della realtà di trattamento. Il Registro delle Attività di Trattamento (questo il nome utilizzato nel testo normativo) diventa uno degli adempimenti nuovi, più importanti, sul quale prestare attenzione.

Chi ha l’obbligo di reggere il Registro dei Trattamenti:

L’art. 30 del 2016/679 sancisce ciò che bisogna sapere su tale documento, sottolineando, nel suo comma 1, l’obbligo di redazione da parte di tutti i titolari del Trattamento. Questa totale obbligatorietà però viene marginata dal comma 5, precisando quanto segue:

“Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con
meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare
un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o
includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i
dati personali relativi a condanne penali e a reati di cui all’articolo 10. (art. 30 c.5)”

Si evince quindi che non solo le grandi aziende devono procedere all’adeguamento ma bensì anche chi tratta dati particolari,’ siano esse piccole, medie o grandi aziende. E’ facile quindi intuire che la maggior parte delle attività aziendali ha a che fare con dati particolari, per esempio quelli relativi allo stato di salute dei dipendenti o delle visite mediche. Potremmo quindi affermare che già solo il fatto di avere dei dipendenti, questo comporti l’obbligo di redazione del registro dei trattamenti. È bene quindi analizzare con molta cura e competenza gli ambiti di trattamento e la categoria di dati trattati così da poter correttamente applicare gli adempimenti normativi.
Il consiglio è comunque quello di redigere sempre, anche se in maniera semplificata, un registro attestante i trattamenti effettuati in azienda e le misure di sicurezza applicate.

A venirci in aiuto sull’interpretazione del GDPR, arriva il Garante per la Protezione de Dati, il quale, nella news dell’8 ottobre 2018, pubblica le FAQ relative al Registro chiarendo in via definitiva l’obbligatorietà estesa alla quasi totalità delle aziende operanti sul territorio, piccole o grandi che esse siano.

I contenuti del Registro.

Possiamo trovare i contenuti del registro direttamente nell’art. 30 che ne elenca dettagliatamente i punti:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
del trattamento, del rappresentante del titolare del trattamento e del responsabile
della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi
i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione
internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione
delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative
di cui all’articolo 32, paragrafo 1.