Guida Completa al Registro delle Attività di Trattamento: Elementi Minimi per Titolari e Responsabili
Il contenuto che segue fa parte di una serie di articoli dedicati al Registro dei trattamenti. In questo focus, approfondiamo gli elementi minimi richiesti nel Registro delle Attività di Trattamento, evidenziando le informazioni essenziali che ogni Titolare e Responsabile del trattamento devono includere.
Informazioni presenti nel Registro delle Attività di Trattamento
Ogni Titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
- Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.
- Le finalità del trattamento.
- Una descrizione delle categorie di interessati e delle categorie di dati personali.
- Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.
- Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
- Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.
- Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Il contenuto del Registro rappresenta una sintesi delle attività di trattamento attivate dal Titolare o dal Responsabile anche mediante i loro rappresentanti e, quindi, da qui la necessità di predisporre una più specifica policy privacy interna da cui estrarre le informazioni utili sia per la compilazione del Registro che dell’informativa ex artt. 13 e 14 del GDPR.
Il Ruolo dei Soggetti Autorizzati al Trattamento
In tale contesto è, quindi, utile richiamare sin da ora l’attenzione circa l’importanza che rivestono i soggetti autorizzati al trattamento. Essi rappresentano coloro che, durante l’esecuzione di un trattamento dei dati, per primi conoscono la qualità del dato trattato (comune, particolare e giudiziario unitamente alle loro sottocategorie) oltre ad ogni informazione utile così da poter supportare il Titolare nel costante aggiornamento della policy privacy interna e di conseguenza del Registro.
Ai fini della compilazione del Registro dei trattamenti ed a titolo esemplificativo corre precisare che l’operazione di anonimizzazione oltre che misura di sicurezza è essa stessa un trattamento e come tale deve essere censita nel Registro dei trattamenti nonché indicato tra le informazioni presenti nell’informativa resa all’interessato.
Elementi Minimi del Registro del Responsabile
Prima di illustrare gli elementi minimi del Registro del Responsabile è utile evidenziare come tra gli obblighi del titolare all’atto della nomina di un responsabile del trattamento ex art. 28 del GDPR riscontriamo la verifica dei requisiti di cui al par. 1 dello stesso, e più in particolare essi rilevano, ai fini del principio di accountability, e anche in questo caso, per quanto attiene l’obbligo di collaborazione con l’Autorità.
Il Titolare, quindi, sarà tenuto a verificare sia la corretta applicazione del GDPR da parte del Responsabile che la corretta tenuta del Registro, anche al fine di non incorrere nelle sanzioni previste dal GDPR per la mancata o incompleta tenuta del Registro stesso.
Ciò premesso, ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
- Il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati.
- Le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.
- Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
- Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Importanza della Documentazione nel GDPR
La figura del responsabile del trattamento è contenuta nell’art. 28 GDPR che al paragrafo 1 enunciati i presupposti e le garanzie che il titolare deve verificare mentre al paragrafo 2 enunciata la procedura di nomina.
- Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
- Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
In un rapporto tra un titolare e un responsabile, il titolare è sempre tenuto a comprovare l’adozione delle misure adeguate al caso di specie. In particolare, la mera nomina di un responsabile non è sufficiente a tenerlo indenne da eventuali responsabilità derivanti da violazioni del GDPR. Il titolare è dunque tenuto anche ad adottare tutte le misure adeguate necessarie e ivi inclusa la scelta del responsabile al fine di soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell’interessato così da non incorrere nella culpa in eligendo e nella culpa in vigilando.
L’articolo si è focalizzato sull’analisi degli elementi minimi del Registro delle Attività di Trattamento, sottolineando l’importanza della documentazione e della corretta tenuta dei registri per garantire la conformità al GDPR. Nel prossimo articolo, affronteremo la compilazione del registro del Titolare e del Responsabile, fornendo linee guida utili per una corretta applicazione del regolamento. Invitiamo i lettori a scaricare il white paper dal titolo “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016“ per approfondire ulteriormente questi temi.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
