I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.


Fonte: Fiscal Focus