Il principale strumento utilizzato da Titolari e Responsabili del trattamento per dimostrare la propria conformità al Regolamento, è la tenuta (cartacea o digitale) del Registro delle attività di trattamento.

Documento molto simile al “vecchio” e conosciuto DPS (Documento Programmatico sulla Sicurezza), il Registro è uno strumento che “fotografa” il flusso informativo dell’attività svolta. Partendo dalla raccolta e dalle modalità di trattamento, fino alla distruzione delle informazioni, indica le finalità, le categorie di interessati, i soggetti coinvolti nel trattamento (interni ed esterni), la tipologia delle informazioni trattate, le “basi giuridiche” che legittimano i trattamenti e le misure di sicurezza adottate per garantire la tutela dei dati.

Il registro delle attività di trattamento: chi deve predisporlo

L’Art. 30 (par. 1 e par. 2) del GDPR stabilisce che, in ambito privato, i seguenti soggetti siano tenuti a predisporre e aggiornare il Registro delle attività di trattamento:

  • imprese e organizzazioni con più di 250 dipendenti;
  • titolari o responsabili che svolgano attività di trattamento che presentino un rischio per i diritti e le libertà degli interessati;
  • chiunque effettui trattamenti non occasionali;
  • coloro che effettuino trattamenti di categorie particolari di dati personali di cui agli Artt. 9 e 10 del Regolamento, ossia coloro che trattino dati “ex sensibili” e dati relativi a condanne penali e a reati.

E’ bene ricordare che il Garante della Privacy, nell’ottobre 2018, prendendo posizione su diversi punti, ha precisato che sono tenute all’obbligo di redazione moltissime realtà, tra cui tutti gli esercizi commerciali (anche gli artigiani) che abbiano almeno un dipendente, i liberi professionisti che abbiano almeno un dipendente o trattino dati sanitari relativi a reati e condanne penali e tutte le associazioni e i comitati ove trattino categorie particolari di dati personali.

Il Garante, inoltre, ha precisato che anche il condominio è tenuto alla redazione del Registro “ove tratti categorie particolari dai dati”, come quelli relativi a interventi volti al superamento delle barriere architettoniche o alle richieste di risarcimento danni comprensive di spese mediche per sinistri avvenuti all’interno dei locali condominiali.

Registri delle attività di trattamento: contenuti e tipologie

Come anticipato, i Registri delle attività di trattamento sono obbligatori sia per i Titolari, sia per i Responsabili del Trattamento. Ciò significa che il medesimo soggetto può essere tenuto alla redazione di uno o anche di più Registri, a seconda della veste che assume nel trattamento.

Nello Studio dell’Amministratore, pertanto, non dovrà mancare il Registro delle attività svolte come Titolare, ma allo stesso tempo dovrà essere attentamente valutata – e a nostro avviso predisposta – l’adozione di un Registro delle attività svolte per gli enti condominiali amministrati.

Registro del Titolare

Il Registro del Titolare deve contenere:

  • nome e dati di contatto del Titolare e del DPO (se presente);
  • le finalità del trattamento (es. la finalità di esecuzione degli obblighi discendenti dal rapporto di lavoro nel caso dei dipendenti o dell’esecuzione del contratto nel caso dei clienti);
  • le categorie di interessati (es. dipendenti, clienti, fornitori);
  • le categorie di destinatari dei dati personali (es. gli enti previdenziali per i dati dei dipendenti e i fornitori di servizi in cloud);
  • eventuali trasferimenti verso un Paese terzo rispetto alla UE;
  • i termini ultimi di cancellazione dei dati previsti per le diverse categorie di dati trattati (es. i “canonici” 10 anni dalla fine del rapporto contrattuale, ex art. 2222 c.c., per i dati relativi ai contratti con i clienti);
  • una descrizione delle misure di sicurezza fisiche, logiche e organizzative adottate (es. porte blindate, sistemi anti intrusione, sistemi di controllo anti virus, back up, procedure interne.).
Registro del Responsabile

Quanto al Registro del Responsabile, esso deve contenere minori ma non per questo meno importanti indicazioni, tra le quali:

  • le categorie di trattamento;
  • eventuali trasferimenti verso Paesi terzi o organizzazioni internazionali;
  • le misure di sicurezza adottate.

I Registri sono documenti “vivi”, dinamici e sempre in evoluzione. Pertanto, se qualcosa nelle attività di trattamento cambia, si dovrà provvedere a un aggiornamento tempestivo degli stessi, tenendo traccia della data di creazione e di tutte le modifiche e integrazioni successive.

Avv. Andrea Broglia

Per ogni ulteriore e più dettagliata informazione: www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento