Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante*).
Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.
Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Il sito del Garante ha messo a punto una guida ragionata all’applicazione del GDPR, organizzata in forma di domande frequenti (FAQ) che consente, a chi è armato di santa pazienza, di orientarsi con un ottimo grado di precisione nella normativa in vigore. È presente anche una sezione dedicata al registro dei trattamenti, comprensiva di modelli semplificati per le PMI, motivo per cui non mi dilungo sugli aspetti relativi ai contenuti e alle modalità di conservazione del registro.
In quali casi non è quindi obbligatorio?
Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni seguenti:
- il trattamento dei dati che l’impresa o l’organizzazione effettua può presentare un rischio per i diritti e le libertà dell’interessato;
- il trattamento non è occasionale;
- il trattamento include categorie particolari di dati (art. 9, paragrafo 1) o i dati personali relativi a condanne (penali e a reati di cui all’art. 10).
Per capire meglio queste disposizioni è molto utile la lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 ( Comitato europeo per la protezione dei dati). Il documento è disponibile solo in inglese, ma eccovi qui la sostanza:
- i tre tipi di trattamento a cui la deroga nella tenuta del registro non si applica sono alternativi e il verificarsi di anche solo uno di questi innesca l’obbligo di predisposizione e conservazione del registro dei trattamenti;
- nelle organizzazioni con meno di 250 dipendenti che effettuano sia trattamenti che non ricadono nelle 3 condizioni sopra elencate sia trattamenti che ricadono in una delle 3 condizioni in questione, è necessario predisporre il registro dei trattamenti per le sole attività che comportano una delle 3 condizioni elencate poco sopra.
L’esempio che viene prestato è quello di una piccola organizzazione che tratta con regolarità i dati relativi ai propri dipendenti. Come conseguenza, dice il documento, questo trattamento non può essere considerato occasionale e deve quindi essere incluso in un registro dei trattamenti. Altre attività che fossero occasionali non dovranno essere incluse nel registro dei trattamenti, a condizione che non comportino un rischio per i diritti e le libertà dell’interessato e non comprendano categorie particolari di dati o i dati personali relativi a condanne.
La posizione del Garante in relazione all’obbligatorietà del registro dei trattamenti
Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale, e cioè che, sebbene la normativa preveda esplicitamente delle deroghe all’obbligo di tenuta del registro dei trattamenti, questo documento agevola l’effettiva valutazione del rischio connesso alle attività di trattamento dei dati e l’identificazione e l’implementazione delle adeguate misure di sicurezza, entrambe componenti chiave del principio di responsabilità su cui si fonda il GDPR.
Per tale ragione “[…] anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento“.
* «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.
L’articolo più chiaro che abbia mai letto su questa confusa materia.
Anche se molti dubbi rimangono.
Complimenti
Buonasera Massimo,
la ringrazio per il riscontro. In merito ai molti dubbi rimasti, se crede possano essere condivisi da molte altre persone, la invito a esplicitarli perché potrei prendere spunto per un nuovo approfondimento e aiutarla a chiarirli o risolverli.