Registro dei trattamenti: obbligo o facoltà?

Che cos’è il registro del trattamento

L’art. 30 del Regolamento UE/679/2016 prevede fra gli obblighi gravanti sul titolare anche quello di istituire il registro del trattamento ovvero il documento che contiene tutte le informazioni relative al trattamento dati sia con riferimento alla tipologia di dati trattati, alla finalità del trattamento, ai soggetti “ interessati” cui appartengono i dati trattati, ai soggetti cui i dati vengono comunicati nonché alle misure organizzative e di sicurezza adottate per prevenire e neutralizzare le situazioni di rischio cui il titolare si espone con specifico riferimento alla finalità del trattamento.

Chi è obbligato ad adottare il registro del trattamento

La norma indica che debbono necessariamente istituire il registro riferendosi alle imprese ed organizzazioni con almeno 250 dipendenti;il requisito numerico viene meno ogni qual volta :

-il trattamento dei dati presenti un rischio per i diritti e le libertà fondamentali dell’interessato,

-il trattamento non sia occasionale;

– includa il trattamento di categorie particolari di dati di cui all’art. 9 paragrafo 1 ovvero di dati relativi a condanne penali e a reati di cui all’art. 10.

Le ipotesi sono alternative secondo quanto stabilito sia dal documento interpretativo reso dal Gruppo di lavoro ex art. 29 ( ora Comitato europeo per la protezione dei dati) che dal Garante privacy nel comunicato stampa del mese di ottobre 2018 relativo alle FAQ sulla necessità dell’adozione del registro del trattamento e sulle categorie obbligate a tale adempimento; individuate negli :

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Appare evidente che i requisiti che fanno scattare l’obbligo di tenuta del registro del trattamento – sebbene in modalità semplificata secondo il format redatto sempre dal Garante- sono due:

-assunzione di almeno un dipendente

-trattamento dati sanitari nelle accezioni di cui all’art. 9- ovvero “Dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”

includendo tutti i dati che in qualche modo rivelano informazioni sullo stato di salute, ha di fatto ampliato la nozione di dato sanitario.

L’estensione generalizzata dell’obbligo di istituire il registro del trattamento è stata bilanciata dal Garante con l’applicazione di un registro “semplificato” nel quale vanno indicati:

–TIPOLOGIA TRATTAMENTO: manuale o informatizzato

–FINALITA’ DEL TRATTAMENTO : distinta per tipologie di trattamento:

trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro;

trattamento dei dati di contatto dei fornitori per la gestione degli ordini;

trattamento dati clienti per la raccolta delle anagrafiche piuttosto che per finalità di marketing,

–BASE GIURIDICA DEL TRATTAMENTO distinta per categorie di dati;

dati comuni secondo il disposto dell’art. 6 ( consenso, obbligo di legge, compito di interesse pubblico, interesse vitale di un terzo, legittimo interesse)
Dati sensibili quali “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del Regolamento.
– DESCRIZIONE DELLE CATEGORIE DI INTERESSATI: le tipologie di soggetti interessati (es. clienti, fornitori, dipendenti)

– CATEGORIE DI DATI PERSONALI oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

– CATEGORIE DI DESTINATARI A CUI I DATI SONO STATI O SARANNO COMUNICATI” vanno individuati anche se per sola categoria appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), professionisti che collaborano con il titolare in qualità di responsabili e sub-responsabili del trattamento;

– TRASFERIMENTI DI DATI PERSONALI VERSO UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate dagli stessi;

– TERMINI ULTIMI PREVISTI PER LA CANCELLAZIONE DELLE DIVERSE CATEGORIE DI DATI vanno individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

– DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Per qualsiasi chiarimento non esitare a contattarci