le regole

Redazione registro del trattamento GDPR: guida pratica per le aziende

Home Sicurezza digitale Privacy
Indirizzo copiato

Il registro delle attività di trattamento costituisce uno tra i più importanti adempimenti richiesti dalla normativa privacy a tutti i titolari e responsabili del trattamento. Approfondiamo come procedere alla creazione, tenuta e aggiornamento del registro in ambito aziendale

Pubblicato il 12 ott 2023
Lorenzo Giannini

Consulente legale privacy e DPO

Cyber,Security,,Information,Privacy,,Data,Protection.,Internet,And,Technology,Concept

Tra i vari adempimenti richiesti al titolare del trattamento dal GDPR è certamente centrale l’obbligo di tenuta di un registro delle attività di trattamento, così come stabilito al primo comma dell’articolo 30.

Prima di descrivere il suo contenuto, appare utile soffermarsi sull’importanza del registro, che si coglie mettendolo in relazione a quelli che sono i principi fondamentali rinvenibili nella normativa europea e, nello specifico, il principio di trasparenza (art. 5, comma 1, lett. a), GDPR) e quello di rendicontazione (c.d. accountability, art. 24 GDPR).

Non-Disclosure Agreement, la guida su misura per le aziende

Introduzione al registro dei trattamenti secondo il GDPR: importanza e finalità

Possiamo qualificare il registro come una sorta di “censimento” delle attività di trattamento; un documento contenente le principali informazioni – specificamente individuate nello stesso art. 30 GDPR – relative alle operazioni di trattamento svolte dal titolare o dal responsabile[1]. In questa prospettiva il registro costituisce uno dei principali strumenti a disposizione del titolare in ottica di trasparenza e accountability, in quanto consente di “fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività” [2].

Il quinto comma dell’art. 30 stabilisce un’eccezione alla tenuta del registro per le imprese o le organizzazioni con meno di 250 dipendenti, pur tuttavia richiedendo la sua presenza laddove quest’ultime eseguano:

  • Trattamenti che presentano un rischio – anche non elevato – per i diritti e le libertà degli interessati;
  • Trattamenti non occasionali;
  • Trattamenti che includono tipologie di dati particolari di cui agli artt. 9 e 10 GDPR.

Nella sostanza, è dunque molto improbabile che un’azienda possa vedersi esclusa dall’obbligo di tenuta del registro. Inoltre, occorre considerare come al di fuori dei casi in cui sia richiesto obbligatoriamente, l’Autorità Garante “ne raccomanda la redazione […] in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”[3].

Identificazione e classificazione dei trattamenti di dati personali

Atteso come in tale documento venga richiesto di inserire informazioni relative non a qualsiasi attività svolta nell’organizzazione aziendale, ma solo le operazioni di trattamento di dati personali, è innanzitutto fondamentale mettere a fuoco cosa deve intendersi per “trattamento” e per “dato personale”.

L’art. 4, comma 1, punto 2), GDPR definisce “trattamento” come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Anche la definizione di “dato personale” offerta dal regolamento europeo (art. 4, comma 1, punto 1) è molto ampia e include “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), [considerando] identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Informazioni da includere nel registro del trattamento

Sotto il profilo dei contenuti che il registro deve includere, è il primo comma dell’art. 30 GDPR a individuare espressamente le informazioni da includere al suo interno. Il secondo comma, invece, fornisce l’elenco dei contenuti del registro del responsabile nominato ex art. 28 GDPR.

Soffermando la nostra attenzione sul primo dei due, questo deve contenere:

  • Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • Una descrizione delle categorie di interessati e delle categorie di dati personali;
  • Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 GDPR.

In ottica di rendicontazione, così come anche previsto nelle FAQ sul registro del trattamento messe a disposizione dall’Autorità Garante privacy, oltre al contenuto necessario previsto nell’elenco è possibile per il titolare riportare “qualsiasi altra informazione che […] ritenga utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.)”[4].

Organizzazione e struttura del registro dei trattamenti

Il titolare ha piena facoltà di prevedere la conservazione di un registro in modalità cartacea o in versione elettronica, servendosi in quest’ultimo caso anche di specifici software.

Un modello di registro – sia per i titolari che per i responsabili – è stato messo a disposizione dall’Autorità Garante (nell’immagine 1, il modello di registro del titolare).

Il documento, rilasciato anche in formato Excel, risulta di facile utilizzo e direttamente impiegabile dal titolare. Oltre alla compilazione di quanto già preimpostato nella tabella, tuttavia, come chiarito dalle stesse FAQ del Garante, il documento “deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: «scheda creata in data XY» e «ultimo aggiornamento avvenuto in data XY»[1].

Aggiornamento e revisione del registro dei trattamenti: quando e come farlo

Per quanto al registro sia attribuibile una natura “statica”, data la verosimile circostanza che non tutti i giorni sorgano nuove attività di trattamento nell’ambito dell’organizzazione aziendale, il documento deve essere comunque costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

In ottica di accountability, pertanto, occorrerà immediatamente intervenire aggiornando il documento ogni qualvolta si verifichino cambiamenti in ordine alle modalità, finalità, categorie di dati e categorie di interessati[2].

Coinvolgimento delle diverse figure aziendali

Una corretta tenuta del registro all’interno dell’azienda è certamente facilitata quanto più risultano coinvolte le diverse aree aziendali, anche con riferimento alle figure individuate internamente per la gestione della documentazione privacy. In quest’ottica è senz’altro fondamentale la massima collaborazione da parte di ciascun soggetto designato al trattamento[3], in modo che vengano prontamente riferite al titolare e, laddove nominato, al DPO, eventuali modifiche alle attività di trattamento suscettibili di integrazione nel registro.

Ruolo del DPO nella gestione e manutenzione del registro

Qualora all’interno dell’azienda si sia provveduto alla sua nomina, il responsabile della protezione dei dati (o DPO – Data Protection Officer)[4] ha tra i suoi compiti quello di informare e fornire consulenza al titolare in merito agli obblighi derivanti dal regolamento, nonché di sorvegliare sulla compliance normativa[5]. Appare pertanto non soltanto utile, ma altresì doveroso[6], sottoporre il registro all’attenzione del DPO e interpellarlo in merito a eventuali problematiche a esso afferenti.

Verifica e controllo del registro dei trattamenti dei dati

In ragione della sua importanza come strumento di accountability del titolare, il registro rappresenta uno tra i principali documenti preso in esame in occasione di eventuali ispezioni da parte delle autorità: tanto il comma 4 dell’art. 30, quanto il Considerando 82 del regolamento europeo, prevedono che il registro venga messo “a disposizione dell’autorità di controllo” al fine di permettere una verifica delle attività di trattamento poste in essere dal titolare.

Anche per questa ragione si coglie la necessità di garantire che il registro del trattamento sia mantenuto costantemente aggiornato, al fine di riportare fedelmente e in versione aggiornata le informazioni inerenti alle attività di trattamento svolte nel contesto aziendale.

_______

Note

[1] I contenuti del registro del trattamento del titolare e del responsabile sono rispettivamente indicati agli artt. 30, comma 1 e 2, GDPR.

[2] Cfr. FAQ n. 1 sul registro del trattamento dell’Autorità Garante privacy.

[3] Cfr. FAQ n. 2.

[4] Cfr. FAQ n. 4.

[1] Cfr. FAQ n. 5.

[2] Ibidem.

[3] Cfr. art. 2-quaterdecies Codice privacy (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018.

[4] Per approfondire sul punto: www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/.

[5] Cfr. art. 39, comma 1, lett. a) e b), GDPR.

[6] Ai sensi dell’art. 38, comma 1, GDPR, “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • L’indagine c-level

    Aziende, cosa significa innovare davvero: lo studio Itir

    18 Dic 2023

    di Stefano Denicolai

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 3