IL Registro delle attività di trattamento dei dati personali fornisce il quadro dei trattamenti in essere all’interno dell’azienda/studio professionale. Il Garante per la privacy ha elaborato un modello semplificato (tabella grafica) di registro di trattamento, utilizzabile dalle piccole e medie imprese. La citata tabella aiuta il titolare a rendere il registro lineare, a dimostrazione della consapevolezza dell’importanza della protezione dei dati. La prima finalità del Registro è la trasparenza,
orientata ad agevolare i controlli sui trattamenti da parte dell’Autorità. Es: se nel registro si indica la presenza di responsabili esterni dei trattamenti, ma non esiste un contratto con questi responsabili, il titolare incorrerà in una sanzione.
Il registro deve avere forma scritta, anche elettronica e deve essere esibito su richiesta del Garante.
L’obbligo della tenuta del registro, in ambito privatistico, opera per:
- imprese e organizzazioni con almeno 250 dipendenti;
- titolari e responsabili che effettuano trattamenti non occasionali o che possano presentare un rischio per i diritti e le libertà dell’interessato;
- titolari o responsabili che effettuino trattamenti di particolari categorie di dati (ex art. 9 GDPR) o relativi a condanne penali o a reati (ex art. 10 GDPR).
Tuttavia, il Garante raccomanda la tenuta del registro anche al di fuori dei casi in cui ciò è obbligatorio.
Quanto alle modalità di compilazione del registro:
- è opportuno indicare la base giuridica del trattamento;
- indicare i destinatari cui i dati sono trasmessi (altri titolari o altri responsabili/sub responsabili);
- individuare i tempi di cancellazione per tipologia e finalità di trattamento (es: in caso di rapporto contrattuale, i dati saranno conservati per 10 anni). Se non è possibile indicare un termine a priori, si potranno indicare criteri indicativi degli stessi (es: in caso di contenzioso, i dati verranno cancellati al termine dello stesso);
- descrivere le misure di sicurezza in termini riassuntivi e sintetici;
- deve essere costantemente aggiornato (con l’indicazione della data della sua prima creazione);
- nei registri tenuti dai responsabili esterni, il registro dovrà indicare le informazioni per ciascun titolare e sarà perciò suddiviso in tante sezioni quanti sono i titolari per conto dei quali agisce;
- il registro tenuto dai sub responsabili potrà far riferimento ai contenuti del contratto stipulato con il responsabile.