Il registro delle attività di trattamento deve essere tenuto

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante*).

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Il sito del Garante ha messo a punto una guida ragionata all’applicazione del GDPR, organizzata in forma di domande frequenti (FAQ) che consente, a chi è armato di santa pazienza, di orientarsi con un ottimo grado di precisione nella normativa in vigore. È presente anche una sezione dedicata al registro dei trattamenti, comprensiva di modelli semplificati per le PMI, motivo per cui non mi dilungo sugli aspetti relativi ai contenuti e alle modalità di conservazione del registro.

In quali casi non è quindi obbligatorio?

Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni seguenti:

1. il trattamento dei dati che l’impresa o l’organizzazione effettua può presentare un rischio per i diritti e le libertà dell’interessato;
2. il trattamento non è occasionale;
3. il trattamento include categorie particolari di dati (art. 9, paragrafo 1) o i dati personali relativi a condanne (penali e a reati di cui all’art. 10).

Per capire meglio queste disposizioni è molto utile la lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 ( Comitato europeo per la protezione dei dati). Il documento è disponibile solo in inglese, ma eccovi qui la sostanza:

• i tre tipi di trattamento a cui la deroga nella tenuta del registro non si applica sono alternativi e il verificarsi di anche solo uno di questi innesca l’obbligo di predisposizione e conservazione del registro dei trattamenti;
• nelle organizzazioni con meno di 250 dipendenti che effettuano sia trattamenti che non ricadono nelle 3 condizioni sopra elencate sia trattamenti che ricadono in una delle 3 condizioni in questione, è necessario predisporre il registro dei trattamenti per le sole attività che comportano una delle 3 condizioni elencate poco sopra.

L’esempio che viene prestato è quello di una piccola organizzazione che tratta con regolarità i dati relativi ai propri dipendenti. Come conseguenza, dice il documento, questo trattamento non può essere considerato occasionale e deve quindi essere incluso in un registro dei trattamenti. Altre attività che fossero occasionali non dovranno essere incluse nel registro dei trattamenti, a condizione che non comportino un rischio per i diritti e le libertà dell’interessato e non comprendano categorie particolari di dati o i dati personali relativi a condanne.

La posizione del Garante in relazione all’obbligatorietà del registro dei trattamenti

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale, e cioè che, sebbene la normativa preveda esplicitamente delle deroghe all’obbligo di tenuta del registro dei trattamenti, questo documento agevola l’effettiva valutazione del rischio connesso alle attività di trattamento dei dati e l’identificazione e l’implementazione delle adeguate misure di sicurezza, entrambe componenti chiave del principio di responsabilità su cui si fonda il GDPR.

Per tale ragione “[…] anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento“.

* «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.