le regole

Redazione registro del trattamento GDPR: guida pratica per le aziende



Indirizzo copiato

Il registro delle attività di trattamento costituisce uno tra i più importanti adempimenti richiesti dalla normativa privacy a tutti i titolari e responsabili del trattamento. Approfondiamo come procedere alla creazione, tenuta e aggiornamento del registro in ambito aziendale

Pubblicato il 12 ott 2023

Lorenzo Giannini

Consulente legale privacy e DPO



Cyber,Security,,Information,Privacy,,Data,Protection.,Internet,And,Technology,Concept

Tra i vari adempimenti richiesti al titolare del trattamento dal GDPR è certamente centrale l’obbligo di tenuta di un registro delle attività di trattamento, così come stabilito al primo comma dell’articolo 30.

Prima di descrivere il suo contenuto, appare utile soffermarsi sull’importanza del registro, che si coglie mettendolo in relazione a quelli che sono i principi fondamentali rinvenibili nella normativa europea e, nello specifico, il principio di trasparenza (art. 5, comma 1, lett. a), GDPR) e quello di rendicontazione (c.d. accountability, art. 24 GDPR).

Introduzione al registro dei trattamenti secondo il GDPR: importanza e finalità

Possiamo qualificare il registro come una sorta di “censimento” delle attività di trattamento; un documento contenente le principali informazioni – specificamente individuate nello stesso art. 30 GDPR – relative alle operazioni di trattamento svolte dal titolare o dal responsabile[1]. In questa prospettiva il registro costituisce uno dei principali strumenti a disposizione del titolare in ottica di trasparenza e accountability, in quanto consente di “fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività” [2].

Il quinto comma dell’art. 30 stabilisce un’eccezione alla tenuta del registro per le imprese o le organizzazioni con meno di 250 dipendenti, pur tuttavia richiedendo la sua presenza laddove quest’ultime eseguano:

  • Trattamenti che presentano un rischio – anche non elevato – per i diritti e le libertà degli interessati;
  • Trattamenti non occasionali;
  • Trattamenti che includono tipologie di dati particolari di cui agli artt. 9 e 10 GDPR.

Nella sostanza, è dunque molto improbabile che un’azienda possa vedersi esclusa dall’obbligo di tenuta del registro. Inoltre, occorre considerare come al di fuori dei casi in cui sia richiesto obbligatoriamente, l’Autorità Garante “ne raccomanda la redazione […] in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”[3].

Identificazione e classificazione dei trattamenti di dati personali

Atteso come in tale documento venga richiesto di inserire informazioni relative non a qualsiasi attività svolta nell’organizzazione aziendale, ma solo le operazioni di trattamento di dati personali, è innanzitutto fondamentale mettere a fuoco cosa deve intendersi per “trattamento” e per “dato personale”.

L’art. 4, comma 1, punto 2), GDPR definisce “trattamento” come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Anche la definizione di “dato personale” offerta dal regolamento europeo (art. 4, comma 1, punto 1) è molto ampia e include “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), [considerando] identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Informazioni da includere nel registro del trattamento

Sotto il profilo dei contenuti che il registro deve includere, è il primo comma dell’art. 30 GDPR a individuare espressamente le informazioni da includere al suo interno. Il secondo comma, invece, fornisce l’elenco dei contenuti del registro del responsabile nominato ex art. 28 GDPR.

Soffermando la nostra attenzione sul primo dei due, questo deve contenere:

  • Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • Una descrizione delle categorie di interessati e delle categorie di dati personali;
  • Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 GDPR.

In ottica di rendicontazione, così come anche previsto nelle FAQ sul registro del trattamento messe a disposizione dall’Autorità Garante privacy, oltre al contenuto necessario previsto nell’elenco è possibile per il titolare riportare “qualsiasi altra informazione che […] ritenga utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.)”[4].

Organizzazione e struttura del registro dei trattamenti

Il titolare ha piena facoltà di prevedere la conservazione di un registro in modalità cartacea o in versione elettronica, servendosi in quest’ultimo caso anche di specifici software.

Un modello di registro – sia per i titolari che per i responsabili – è stato messo a disposizione dall’Autorità Garante (nell’immagine 1, il modello di registro del titolare).

Il documento, rilasciato anche in formato Excel, risulta di facile utilizzo e direttamente impiegabile dal titolare. Oltre alla compilazione di quanto già preimpostato nella tabella, tuttavia, come chiarito dalle stesse FAQ del Garante, il documento “deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: «scheda creata in data XY» e «ultimo aggiornamento avvenuto in data XY»[1].

Aggiornamento e revisione del registro dei trattamenti: quando e come farlo

Per quanto al registro sia attribuibile una natura “statica”, data la verosimile circostanza che non tutti i giorni sorgano nuove attività di trattamento nell’ambito dell’organizzazione aziendale, il documento deve essere comunque costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

In ottica di accountability, pertanto, occorrerà immediatamente intervenire aggiornando il documento ogni qualvolta si verifichino cambiamenti in ordine alle modalità, finalità, categorie di dati e categorie di interessati[2].

Coinvolgimento delle diverse figure aziendali

Una corretta tenuta del registro all’interno dell’azienda è certamente facilitata quanto più risultano coinvolte le diverse aree aziendali, anche con riferimento alle figure individuate internamente per la gestione della documentazione privacy. In quest’ottica è senz’altro fondamentale la massima collaborazione da parte di ciascun soggetto designato al trattamento[3], in modo che vengano prontamente riferite al titolare e, laddove nominato, al DPO, eventuali modifiche alle attività di trattamento suscettibili di integrazione nel registro.

Ruolo del DPO nella gestione e manutenzione del registro

Qualora all’interno dell’azienda si sia provveduto alla sua nomina, il responsabile della protezione dei dati (o DPO – Data Protection Officer)[4] ha tra i suoi compiti quello di informare e fornire consulenza al titolare in merito agli obblighi derivanti dal regolamento, nonché di sorvegliare sulla compliance normativa[5]. Appare pertanto non soltanto utile, ma altresì doveroso[6], sottoporre il registro all’attenzione del DPO e interpellarlo in merito a eventuali problematiche a esso afferenti.

Verifica e controllo del registro dei trattamenti dei dati

In ragione della sua importanza come strumento di accountability del titolare, il registro rappresenta uno tra i principali documenti preso in esame in occasione di eventuali ispezioni da parte delle autorità: tanto il comma 4 dell’art. 30, quanto il Considerando 82 del regolamento europeo, prevedono che il registro venga messo “a disposizione dell’autorità di controllo” al fine di permettere una verifica delle attività di trattamento poste in essere dal titolare.

Anche per questa ragione si coglie la necessità di garantire che il registro del trattamento sia mantenuto costantemente aggiornato, al fine di riportare fedelmente e in versione aggiornata le informazioni inerenti alle attività di trattamento svolte nel contesto aziendale.

_______


Note

[1] I contenuti del registro del trattamento del titolare e del responsabile sono rispettivamente indicati agli artt. 30, comma 1 e 2, GDPR.

[2] Cfr. FAQ n. 1 sul registro del trattamento dell’Autorità Garante privacy.

[3] Cfr. FAQ n. 2.

[4] Cfr. FAQ n. 4.

[1] Cfr. FAQ n. 5.

[2] Ibidem.

[3] Cfr. art. 2-quaterdecies Codice privacy (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018.

[4] Per approfondire sul punto: www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/.

[5] Cfr. art. 39, comma 1, lett. a) e b), GDPR.

[6] Ai sensi dell’art. 38, comma 1, GDPR, “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.


EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati