Il registro dei trattamenti è uno dei più importanti adempimenti privacy previsti dal GDPR.
Il suo scopo è quello di mantenere traccia dei trattamenti privacy effettuati dal Titolare e dal Responsabile nonché di segnalare, per ognuno di questi, alcune informazioni.
Chi deve avere il registro dei trattamenti?
Secondo quanto previsto dal Regolamento Europeo Privacy, il registro dei trattamenti non compete (quindi non è obbligatorio) a “…imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
I punti su cui porre interesse sono:
- “trattamento di categorie particolari di dati”
- “trattamento non occasionale”
Tendenzialmente un’azienda con dei dipendenti effettua trattamenti sui dati dei propri lavoratori in maniera “non occasionale” e continuativa per tutto il periodo di collaborazione (pensiamo alle buste paga) e può dover gestire dati di tipo particolare (pensiamo alla gestione della malattia, della maternità, etc..).
Il ragionamento porta, pertanto, a preferire la presenza di un registro dei trattamenti per mantenere un approccio cautelativo. Secondo il principio di accountability il Titolare deve saper dimostrare di effettuare i trattamenti adottando tutte le misure necessarie e idonee a proteggerli. Il mantenimento del registro è sicuramente uno strumento utile a dimostrare l’attuazione di questo principio.
Cosa deve contenere il registro dei trattamenti?
Il registro dei trattamenti deve contenere le informazioni necessarie ad individuare il trattamento, chi lo fa e con quali modalità.
Nello specifico:
- bisogna indicare il nominativo del Titolare del trattamento, inteso anche nelle possibili variabili di co-Titolare
- bisogna indicare quali dati saranno trattati, ovvero le categorie di dati
- è necessario definire le categorie di Interessati (di chi sono i dati che saranno trattati)
- bisogna definire le finalità del trattamento svolto
- è necessario specificare se ci sono ulteriori figure che tratteranno i dati, in qualità di Responsabili o semplice destinatari
- è importante definire se i dati saranno trasferiti verso paesi extra UE
- bisogna indicare le misure di sicurezza adottate
- bisogna definire i tempi di cancellazione delle categorie di dati trattati (ovvero la data retention)
E’ importante comprendere, però, l’aspetto più profondo del registro privacy, che va oltre l’elenco dei contenuti da inserirvi: il contesto.
Ipotizziamo, per esempio, di avere un piccolo studio con una sola segretaria: in questo ambito tratteremo i dati della dipendente per la sua busta paga, per gestire le assenze e, magari, per aspetti aggiuntivi come la legge 104, la maternità o la verifica del green pass. Il trattamento sarà continuativo per tutto il periodo della collaborazione e i suoi dati saranno comunicati, tendenzialmente, solo allo studio paghe. Le finalità sono chiare e legate al contratto. Un caso piuttosto semplice.
Ipotizziamo di avere, invece, a che fare con una multinazionale, con centinaia di dipendenti dislocati in più stati (europei e non…). Ipotizziamo che questa azienda mantenga i responsabili del personale sulla singola sede, con una gestione della rete informatica centralizzata sulla quale vengono salvate le informazioni per la gestione dei contratti dei lavoratori. Aggiungiamo che, per convenienza economica, la manutenzione della rete è affidata ad un’azienda extra UE.
Il trattamento che svolgono i due titolari è sicuramente simile: gestione dei dati dei dipendi per finalità legate al contratto lavorativo. Ma i loro registri dei trattamenti saranno, ovviamente, molto differenti perché il contesto e i rischi del trattamento sono decisamente diversi.
Ogni quanto va aggiornato?
Il registro dei trattamenti non ha un obbligo temporale di aggiornamento definito dalla norma, ma va aggiornato ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione.
Un esempio recentissimo è la situazione covid e la conseguente introduzione dell’obbligo green pass: il Titolare si trova ad effettuare un nuovo trattamento, che prima non faceva, e deve quindi aggiornare il registro.
Un altro esempio può essere legato a cambi amministrativi dell’azienda: cambia la ragione sociale, il registro va aggiornato inerendo il nominativo del nuovo Titolare.
Come impostare il registro dei trattamenti
Il registro dei trattamenti può essere richiesto in caso di ispezione da parte delle Garante Privacy e deve pertanto essere progettato e redatto per poter essere considerato conforme a quanto previsto dalle legge sulla privacy
E’ un’attività che il Titolare può svolgere in autonomia, seguendo anche le indicazioni riportate in questa pagina. Il supporto di consulenti privacy esperti è sicuramente un plus, in quanto è necessario saper individuare tutti i trattamenti svolti, calarli nel singolo contesto e saperli organizzare per categorie che possano essere create per fattori comuni (es: data retention, finalità etc…).
E’ fondamentale ricordare che il registro dei trattamenti è una delle maggiori novità introdotte da Regolamento Europeo Privacy ed è uno dei documenti fondamentali nella gestione di un sistema privacy corretto. Disporre di un registro incompleto può portare a sanzioni anche importanti.
Il registro dei trattamenti effettuati come Responsabile
Le attività di trattamento possono essere svolte anche in qualità di Responsabile, ovvero per conto di un Titolare. In questo caso, il registro dei trattamenti, deve prevedere un’ulteriore voce che definisca quali sono i Titolari per i quali si effettua uno specifico trattamento.