GDPR: come redigere il registro dei trattamenti

Il registro dei trattamenti consente di fare un inventario sulle procedure di trattamento dei dati e di avere una visione d’insieme circa il modo in cui un’azienda sta utilizzando i dati personali degli utenti.

L’articolo 30 del GDPR affronta in maniera chiara ed esaustiva questo argomento. Andiamo a vedere, nello specifico, quali sono le disposizioni presenti in questo articolo e come un’azienda deve redigere il registro dei trattamenti.

Cosa deve contenere il registro dei trattamenti

Secondo quanto stabilito dal primo comma dell’articolo 30, ogni titolare del trattamento o, laddove possibile, il suo rappresentante è obbligato a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità.
Questo registro contiene informazioni molto importanti, a partire dalle generalità anagrafiche e dai dati di contatto del titolare del trattamento, del contitolare, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.
È importante che il registro contenga gli scopi del trattamento, una descrizione delle categorie di interessati e di dati personali nonché delle misure di sicurezza sia tecniche che organizzative di cui si parla nell’articolo 32.
Laddove possibile, il registro deve contenere i termini ultimi trascorsi i quali si dovrà procedere a cancellare le diverse categorie di dati nonché le categorie di destinatari che hanno ricevuto o riceveranno la comunicazione dei dati personali, inclusi i destinatari di paesi terzi o di organizzazioni internazionali.

Infine, il registro deve includere informazioni che riguardano gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale. Le informazioni da includere riguardano anche l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione circa la presenza delle garanzie adeguate.

Forma del registro e formato di archiviazione

Il registro può essere redatto e conservato in forma scritta. È accettato anche il formato elettronico.
Il titolare o il responsabile del trattamento oppure il rappresentante del titolare del trattamento e del responsabile del trattamento, in presenza di una esplicita richiesta, sono tenuti a mettere a disposizione dell’autorità di controllo il registro del trattamento.

Imprese e organizzazioni escluse

Gli obblighi indicati nel primo comma dell’articolo 30 del GDPR non si estendono alle imprese o alle organizzazioni che vantano meno di 250 dipendenti. Se, però, il trattamento è passibile di presentare rischi per i diritti e le libertà dell’interessato, non è occasionale oppure include il trattamento di particolari categorie di dati o i dati personali legati a condanne penali e reati inclusi nell’articolo 10, in questi casi si applicano gli obblighi previsti dal primo comma dell’articolo 30.

Perché è importante il registro del trattamento

Oltre ad essere un obbligo stabilito dall’articolo 30 del GDPR, il registro del trattamento è prima di tutto uno strumento di controllo interno che serve a dimostrare la conformità di aziende ed organizzazioni al GDPR.
Dunque, attraverso questo documento, le aziende hanno la possibilità di effettuare una sorta di autovalutazione e di porsi alcune domande, del tipo:

  • Di quali dati si ha davvero bisogno per uno specifico trattamento?
  • I dati sono sufficientemente protetti?
  • È realmente importante conservare i dati per un arco di tempo eccessivamente lungo?

Creare ed aggiornare il registro dei trattamenti è un’occasione per identificare e catalogare i rischi legati al trattamento dei dati, alla luce delle nuove disposizioni presenti nel GDPR. Un passaggio, dunque, essenziale per delineare un piano d’azione adeguato, nel rispetto delle norme sulla protezione dei dati.

In sintesi

Il registro di trattamento è un documento che deve riflettere le reali modalità di trattamento dei dati personali e consentire di identificare con precisione:

  • Gli attori coinvolti;
  • Le categorie di dati trattati;
  • Lo scopo del trattamento;
  • Chi ha accesso ai dati;
  • Chi sono i destinatari dei dati personali;
  • Per quanto tempo si conservano i dati personali;
  • Le misure di sicurezza tecniche ed organizzative implementate