Il Registro del Trattamento, normato nel Regolamento 679/2016 GDPR dall’art. 30 e e dal considerando 82 è il primo punto di contatto fra Titolare e Responsabile del Trattamento e Nucleo speciale della Guardia di Finanza.
Il GDPR anche in questo caso, come ci ha abituato a fare, ci lascia libertà di manovra, ovvero prescrive alcune informazioni (che vedremo dopo) che devono necessariamente essere presenti nel Registro, ma ci lascia libertà di per quanto riguarda il formato del Registro stesso (cartaceo, elettronico, online, offline ,…) e sulla frequenza di aggiornamento dello stesso. Fatto sta che il Registro deve sempre esserci, deve essere sempre consultabile, e deve essere aggiornato ed è fondamentale nel dimostrare l'accountability del Titolare. Per chi si occupa anche di Sicurezza dei luoghi di lavoro, lo si puo’ immaginare come un DVR – Documento di Valutazione dei Rischi, applicato ai Dati Personali presenti in Azienda (parallelo che ci sentiamo di fare nonostante sicuramente farà rabbrividire i giuristi).
Il GDPR anche in questo caso, come ci ha abituato a fare, ci lascia libertà di manovra, ovvero prescrive alcune informazioni (che vedremo dopo) che devono necessariamente essere presenti nel Registro, ma ci lascia libertà di per quanto riguarda il formato del Registro stesso (cartaceo, elettronico, online, offline ,…) e sulla frequenza di aggiornamento dello stesso. Fatto sta che il Registro deve sempre esserci, deve essere sempre consultabile, e deve essere aggiornato ed è fondamentale nel dimostrare l'accountability del Titolare. Per chi si occupa anche di Sicurezza dei luoghi di lavoro, lo si puo’ immaginare come un DVR – Documento di Valutazione dei Rischi, applicato ai Dati Personali presenti in Azienda (parallelo che ci sentiamo di fare nonostante sicuramente farà rabbrividire i giuristi).
Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.dolor sit amet Lorem ipsum dolor sit amet.
- Considerando 82 del GDPR
L’importanza che il Registro avrebbe coperto nel Trattamento dei Dati Personali era evidente fin dalla 1° stesura del GDPR tanto che sia il Garante Privacy che l’art. 29 WP (oggi EDPB - European Data Protection Board), si sono presi l’onere di rilasciare linee guida, faq e chiarimenti ancora disponibili online ai seguenti indirizzi:
https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento
https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento
https://ec.europa.eu/newsroom/article29/items/624045
Ribadiamo le definizioni di Trammento, Dato Personale tratte dall’art. 4:
Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
- "Trattamento", definizione dall'art.4 GDPR
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
- "Dato Personale", definizione dall'art.4 GDPR
Queste definizioni, pur tenendo presente il par.5 dell’ art. 30, ci danno la certezza che nessuno puo’ considerarsi esente dall'onere della redazione del Registro del Trattamento.
Il Registro deve contenere, almeno, le seguenti informazioni:
a. Finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini, ecc.)
b. Base giuridica del trattamento (sulla base dell'art.6 del GDPR per es. consenso, obbligo legale, esecuzione di un contratto, ecc.)
c. Descrizione delle categorie di interessati (es: clienti, fornitori, dipendenti, ecc.)
d. Dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
e. Categorie di destinatari a cui i dati sono stati o saranno comunicati (es: altri titolari, cotitolari, repsonsabili, incaricati, ecc.)
f. Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al paese 3° dove sono trasferiti)
g. Termini ultimi previsti per la cancellazione (es. norme di legge)
h. Descrizione generale delle misure di sicurezza per preservare i dati
Appare chiaro quindi che il Registro deve essere non soltanto un “documento vivente” in continuo aggiornamento, ma anche che deve essere cucito su misura intorno alle esigenze del Titolare del Trattamento: sono infatti sicuramente diverse le esigenze di una clinica privata, da quelle di una carrozzeria a gestione familiare (sebbene anche quest’ultima , e’ bene ricordarlo, sia costantemente a contatto con Dati Personali dei clienti, quali indirizzi, numeri di telefono, targhe auto, ecc. che non la esimono dalla redazione del Registro).
Chiudiamo osservando, facendo riferimento nuovamente al parallelo con il DVR di cui sopra, come per quest’ultimo sia relativamente semplice perimetrare i rischi presenti in Azienda (in quanto fisicamente tangibili e rilevabili) mentre la stesura di un Registro del Trattamento, la cui unità fondamentale e’ il Dato Personale (di per se difficilmente inventariabile e per sua natura “liquida”) possa risultare ben piu’ onerosa.
Il Registro deve contenere, almeno, le seguenti informazioni:
a. Finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini, ecc.)
b. Base giuridica del trattamento (sulla base dell'art.6 del GDPR per es. consenso, obbligo legale, esecuzione di un contratto, ecc.)
c. Descrizione delle categorie di interessati (es: clienti, fornitori, dipendenti, ecc.)
d. Dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
e. Categorie di destinatari a cui i dati sono stati o saranno comunicati (es: altri titolari, cotitolari, repsonsabili, incaricati, ecc.)
f. Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al paese 3° dove sono trasferiti)
g. Termini ultimi previsti per la cancellazione (es. norme di legge)
h. Descrizione generale delle misure di sicurezza per preservare i dati
Appare chiaro quindi che il Registro deve essere non soltanto un “documento vivente” in continuo aggiornamento, ma anche che deve essere cucito su misura intorno alle esigenze del Titolare del Trattamento: sono infatti sicuramente diverse le esigenze di una clinica privata, da quelle di una carrozzeria a gestione familiare (sebbene anche quest’ultima , e’ bene ricordarlo, sia costantemente a contatto con Dati Personali dei clienti, quali indirizzi, numeri di telefono, targhe auto, ecc. che non la esimono dalla redazione del Registro).
Chiudiamo osservando, facendo riferimento nuovamente al parallelo con il DVR di cui sopra, come per quest’ultimo sia relativamente semplice perimetrare i rischi presenti in Azienda (in quanto fisicamente tangibili e rilevabili) mentre la stesura di un Registro del Trattamento, la cui unità fondamentale e’ il Dato Personale (di per se difficilmente inventariabile e per sua natura “liquida”) possa risultare ben piu’ onerosa.