Registro trattamento dati, le istruzioni del Garante privacy

Sono state pubblicate sul sito del Garante privacy le istruzioni riguardanti la tenuta del registro delle attività di trattamento dei dati previsto dal Regolamento UE n. 2016/679 (RGPD), che trova piena applicazione dal 25 maggio 2018.

Attraverso alcune FAQ viene in particolare precisato che:

1. il registro, la cui predisposizione è a carico del titolare e del responsabile del trattamento, deve contenere le principali informazioni – specificatamente individuate dall’art. 30 del Regolamento n. 2016/679 – relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, ovvero un libero professionista; nella categoria delle “organizzazioni” di cui all’art. 30 , par. 5, rientrano anche le associazioni, le fondazioni e i comitati. Sono quindi tenuti all’obbligo di redazione del registro, ad esempio:
   – gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
   – i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
   – le associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
   – il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della legge n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali);
2. l’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività;
3. sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (dati biometrici, genetici, sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.), o anche di dati relativi a condanne penali e a reati;
4. deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Nelle FAQ vengono indicate, inoltre, le informazioni che devono essere contenute nel Registro, nonché le modalità per la sua conservazione e il suo aggiornamento.

Nella stessa sezione sono disponibili il modello di “registro semplificato” delle attività di trattamento del titolare ed il modello di “registro semplificato” delle attività di trattamento del responsabile per le Pmi.