Le novità del Regolamento Europeo della Privacy: il Registro delle Attività di Trattamento

Accanto alla semplificazione di molti adempimenti, è stata sancita la reviviscenza – sebbene con le dovute differenze – di uno specifico (e malvisto) adempimento: il vecchio Documento Programmatico sulla Sicurezza (DPS), nato con il Codice della Privacy e rubricato nell’Allegato B del medesimo, che rinasce sotto la nuova veste del “ Registro delle Attività di Trattamento” previsto ai sensi dell’art. 30 del Regolamento UE 2016/679 (il c.d. GDPR) e dal considerando n. 82 che ne argomenta la portata.

Cos'è il Registro delle Attività di Trattamento

La ratio dell’istituto è quella di dare ai Titolari e ai Responsabili del trattamento la possibilità di dimostrare la conformità dei trattamenti alle disposizioni del Regolamento UE 2016/679. Una delle novità del Registro, rispetto al DPS, risiede proprio nel porre l’obbligo di tenuta del Registro anche in capo al Responsabile del trattamento.

Un’altra novità è l’assenza di un termine temporale entro il quale aggiornare il Registro; in attesa di un intervento chiarificatore del Garante, si ritiene che ad ogni nuova attività di trattamento corrisponda un obbligo di modifica del Registro da parte del Titolare ovvero del Responsabile del trattamento, ciascuno nei campi di rispettiva competenza.

L’Autorità Garante ha definito il Registro come uno strumento fondamentale non soltanto per l’attività di controllo da parte del Garante stesso, ma anche al fine di avere un quadro aggiornato dei trattamenti posti in essere all’interno di un’azienda o di un soggetto pubblico, costituendo un elemento indispensabile per ogni valutazione e analisi del rischio. Il registro dovrà avere forma scritta, anche elettronica, e dovrà essere esibito su richiesta del Garante.

A chi si applica il Registro delle Attività di Trattamento

Nonostante sia previsto che l’obbligo di tenuta del Registro non si applichi alle imprese o organizzazioni con meno di 250 dipendenti, “ a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (articolo 9 GDPR) o il trattamento di dati relativi a condanne penali e a reati (articolo 10 GDPR) ”, l’Autorità Garante ritiene auspicabile che tutti i titolari e i responsabili del trattamento, a prescindere dalle dimensioni dell’organizzazione, si dotino di tale registro e che, in ogni caso, gli stessi compiano un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

Il contenuto del Registro delle Attività di Trattamento dovrà essere il seguente: il nome e i dati di contatto di tutti i soggetti del trattamento (Titolare, Contitolare, Rappresentante e Responsabile della Protezione dei Dati); le finalità del trattamento; una compiuta descrizione delle categorie di interessati del trattamento nonché una descrizione delle categorie dei dati personali trattati dal Titolare del trattamento; le categorie dei terzi cui i dati possono essere comunicati, anche se presenti all’estero; l’indicazione – ove applicabile – dei trasferimenti verso paesi terzi e/o verso organizzazioni internazionali identificabili; i termini ultimi per la cancellazione dei dati, ove possibile; infine – sempre ove possibile – una descrizione delle misure di sicurezza e delle misure organizzative che sono state approntate dal Titolare del trattamento.

A ben vedere i dati richiesti sono gli stessi indicati dall’art. 38 del Codice della Privacy in tema di “Notificazione del trattamento”. Tale particolarità non è infatti casuale, poiché il GDPR sostituisce l’obbligo di notificazione delle attività di trattamento proprio con l’obbligo di tenuta del Registro delle Attività di Trattamento, necessario ogni volta in cui venga effettuata un’attività di trattamento di dati che presenti un rischio più elevato, che non sia occasionale o che sia relativa ai c.d. dati sensibili e giudiziari. Non vi sono pertanto dubbi sul fatto che la tenuta del Registro delle Attività di Trattamento, tra i nuovi obblighi di compliance posti in capo ai Titolari e ai Responsabili del trattamento, sia volto a realizzare il nuovo principio di accountability (responsabilizzazione) di cui è interamente permeato il nuovo Regolamento europeo.