di Valeria Zeppilli – Tra i principali adempimenti previsti dal Gdpr vi è il registro del trattamento, che, in buona sostanza, è un documento nel quale vanno censiti tutti i trattamenti di dati personali effettuati dal titolare e dal responsabile del trattamento e che deve essere esibito a richiesta al Garante.
Per agevolare tutti coloro che si trovano alle prese con la novità, il Garante privacy ha diffuso un vademecum che fa chiarezza su come procedere a una corretta tenuta e le faq (sotto allegate).
Gdpr: chi deve tenere il registro
Il registro deve essere tenuto da:
- imprese o organizzazioni che hanno almeno 250 dipendenti;
- titolari o responsabili che effettuano trattamenti che possono comportare rischi, anche bassi, per i diritti e le libertà dell'interessato o che effettuano trattamenti non occasionali, anche se l'impresa o l'organizzazione in cui operano ha meno di 250 dipendenti;
- titolari o responsabili che effettuano trattamenti di categorie particolari di dati di cui all'art. 9, paragrafo 1, del Gdpr o di dati personali relativi a condanne penali e a reati di cui all'articolo 10 del Gdpr, anche se l'impresa o l'organizzazione in cui operano abbia meno di 250 dipendenti.
Si precisa che sono organizzazioni anche le associazioni, le fondazioni e i comitati.
Per il Garante della privacy, in ogni caso, il registro andrebbe tenuto sempre, anche se non si è sottoposti all'obbligo.
Contenuto del registro
Il Garante si è occupato anche dei contenuti del registro, specificando innanzitutto che nel campo "termini ultimi previsti per la cancellazione delle diverse categorie di dati" devono essere indicati i tempi di cancellazione per tipologia e finalità di trattamento. Se questi non possono essere predeterminati, basterà specificarli con criteri indicativi.
Sotto la voce "descrizione generale delle misure di sicurezza", invece, è possibile anche indicare che, per una valutazione più dettagliata, si rimanda a documenti esterni di carattere generale, come le procedure organizzative e le policy aziendali. Tale voce deve comunque avere carattere dinamico ed essere quindi continuamente adeguata alle nuove tecnologie e ai nuovi rischi.
Nel campo "finalità del trattamento", poi, è opportuno indicare la relativa base giuridica e, se si tratta di un legittimo interesse, anche la sua descrizione, le adeguate garanzie e l'eventuale preventiva valutazione di impatto.
Infine, nel campo "categorie di destinatari a cui i dati sono stati o saranno comunicati", vanno inclusi tutti i soggetti destinatari dei dati, compresi gli altri titolari, i responsabili e gli eventuali sub-responsabili.
Aggiornamenti
Nel registro dei trattamenti vanno poi indicate sempre la data di istituzione, o di creazione di una nuova scheda relativa a una specifica tipologia di trattamento, e quella dell'ultimo aggiornamento.
Il registro infatti, sia esso in formato digitale o in formato cartaceo, deve essere aggiornato con costanza.
Responsabile esterno
Il registro deve essere predisposto dal titolare e dal responsabile del trattamento.
Se il responsabile è un soggetto esterno che agisce per più autonomi e distinti titolari, le informazioni devono essere riportate nel registro in maniera specifica per ogni titolare, a ognuno del quale deve essere quindi dedicata una apposita sezione del documento.